ПОСОБИЕ ПО НАСТРОЙКЕ УДАЛЁННОГО НЕ ДОМЕННОГО ЦЕНТРА СЕРТИФИКАЦИИ
Перед всеми установками для нормальной работы центра сертификации следует синхронизировать время между серверами. И добавить запись типа A для DNS с указанием имени нашего корневого ЦС и его IP-адреса.
Установка роли центра сертификации и самоподписанного сертификата без графики осуществляется при помощи командлетов PowerShell.
Install—WindowsFeature AD—Certificate –IncludeManagementTools
Ниже на скриншоте приведен командлет для создания самоподписанного сертификата с параметрами которые вы можете указать.
Создаём сертификат при помощи данного командлета соответствующий нашим требованиям. В нашем случае это не доменный корневой центр сертификации. Сразу меняем параметр срок действия выдачи сертификата для подчинённых центров сертификации. Для этого открываем реестр и идём по следующему пути и меняем значение в строке указанной на скрине.
Дальше мы будем настраивать доменный центр сертификации он будет у нас с графической оболочкой, поэтому добавление роли не вызовет ни каких проблем. Открываем Server Manager ® нажимаем Manage ® Add Roles and Features. Нам нужен только Certification Authority.
После установки запускаем мастер настройки центра сертификации где будут предложены параметры для нашего сервера. В нашем случае это доменный подчинённый центр сертификации.
После установки нам надо заполучить сертификат корневого центра сертификации. Проще всего сделать это через подключение к диску центра сертификации. Делается это так переходим в Network и в строку пути вводим \\ip-адрес сервера\с$\CAConfig. Авторизуемся под пользователем с правами администратора того сервера на который заходим. Копируем себе на сервер сертификат.
Дальше нам надо будет установить сертификат на нашем подчинённом сервере в доверенные сертификаты. Для этого нажимаем ПКМ на сертификат и следуем указаниям на скринах.
По окончании система выведет сообщение об успешном импорте сертификации.
Так же нам необходимо добавить сертификат в GPO. Для этого переходим по ветке Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities
После этого запускаем оснастку центра сертификации Certification Authority.
Изначально центр сертификации будет выключен так как у нас нет подписанного сертификата для нашего сервера. Для его получения нужно отослать запрос на получение сертификата. Нажимаем «Renew CA Certificate…».
Вводим имя сервера, и выбираем имя центра сертификации.
Получаем следующую рекомендацию. В которой говориться что теперь нам надо связаться с администратором корневого центра сертификации и попросить подтвердить запрос.
Но так как мы просто не хотим и нам не требуется вводить корневой центр сертификации в домен, и мы тот самый администратор нам самим нужно подтвердить запрос, мы можем это сделать не выходя из оснастки нашего центра сертификации для этого. Нажимаем ПКМ на Certification Authority (Local) и нажимаем Retarget Certification Authority…
Появляется окно выбора центров сертификации. Выбираем Another computer и пишем имя сервера, на котором расположен корневой центр сертификации.
Вот мы зашли на корневой центр сертификации для управления сертификатами. Здесь нам надо будет перейти в папку Pending Requests где будут находиться запросы на сертификат
Для подтверждения сертификата мы нажимаем Issue.
Переходим в папку Issued Certificates жмём ПКМ на наш сертификат и открываем его во вкладке Details нажимаем Copy to File. Следуем инструкции.
Возвращаемся на наш сервер для этого выполняем тоже самое что мы делали чтобы зайти сюда только в этот раз мы выбираем Local computer.
По возвращению нам нужно установить сертификат для это всё в той же оснастке выполним следующее действие. Нажимаем Install CA Certificate… и выбираем сертификат который мы сохранили.
Посмотреть установленные сертификаты можно в Properties во вкладке General.