ПОСОБИЕ ПО НАСТРОЙКЕ УДАЛЁННОГО НЕ ДОМЕННОГО ЦЕНТРА СЕРТИФИКАЦИИ

ПОСОБИЕ ПО НАСТРОЙКЕ УДАЛЁННОГО НЕ ДОМЕННОГО ЦЕНТРА СЕРТИФИКАЦИИ

Перед всеми установками для нормальной работы центра сертификации следует синхронизировать время между серверами. И добавить запись типа A для DNS с указанием имени нашего корневого ЦС и его IP-адреса.

Установка роли центра сертификации и самоподписанного сертификата без графики осуществляется при помощи командлетов PowerShell.

InstallWindowsFeature ADCertificate IncludeManagementTools

Ниже на скриншоте приведен командлет для создания самоподписанного сертификата с параметрами которые вы можете указать.

Рисунок 1 – Синтаксис команды.

 Создаём сертификат при помощи данного командлета соответствующий нашим требованиям. В нашем случае это не доменный корневой центр сертификации. Сразу меняем параметр срок действия выдачи сертификата для подчинённых центров сертификации. Для этого открываем реестр и идём по следующему пути и меняем значение в строке указанной на скрине.

Рисунок 2 – Реестр корневого центра сертификации.

Дальше мы будем настраивать доменный центр сертификации он будет у нас с графической оболочкой, поэтому добавление роли не вызовет ни каких проблем. Открываем Server Manager ® нажимаем Manage ® Add Roles and Features. Нам нужен только Certification Authority.

Рисунок 3 – Добавление роли подчинённому центру сертификации.

После установки запускаем мастер настройки центра сертификации где будут предложены параметры для нашего сервера. В нашем случае это доменный подчинённый центр сертификации. 

После установки нам надо заполучить сертификат корневого центра сертификации. Проще всего сделать это через подключение к диску центра сертификации. Делается это так переходим в Network и в строку пути вводим \\ip-адрес сервера\с$\CAConfig. Авторизуемся под пользователем с правами администратора того сервера на который заходим. Копируем себе на сервер сертификат.

Рисунок 4 – Расположение сертификата корневого ЦС.

Дальше нам надо будет установить сертификат на нашем подчинённом сервере в доверенные сертификаты. Для этого нажимаем ПКМ на сертификат и следуем указаниям на скринах.

Рисунок 5 – Установка сертификата «Install Certificate».
Рисунок 6 – Выбор объекта для установки.
Рисунок 7 – Выбор папки для установки туда сертификата.
Рисунок 8 – Продолжаем установку сертификата.
Рисунок 9 – Проверка перед завершением.

По окончании система выведет сообщение об успешном импорте сертификации.

Рисунок 10 – Оповещение об успешном импорте сертификата.

Так же нам необходимо добавить сертификат в GPO. Для этого переходим по ветке Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities

Рисунок 11 – Место расположение сертификатов в GPO.

После этого запускаем оснастку центра сертификации Certification Authority.

Рисунок 12 – Список инструментов.
Рисунок 13 – Вид менеджера сертификатов.

Изначально центр сертификации будет выключен так как у нас нет подписанного сертификата для нашего сервера. Для его получения нужно отослать запрос на получение сертификата. Нажимаем «Renew CA Certificate…».

Рисунок 14 – Управление центром сертификации.

Вводим имя сервера, и выбираем имя центра сертификации.

Рисунок 15 – Ввод имени сервера корневого центра сертификации.

Получаем следующую рекомендацию. В которой говориться что теперь нам надо связаться с администратором корневого центра сертификации и попросить подтвердить запрос.

Рисунок 16 – Оповещение об успешном отправлении запроса.

Но так как мы просто не хотим и нам не требуется вводить корневой центр сертификации в домен, и мы тот самый администратор нам самим нужно подтвердить запрос, мы можем это сделать не выходя из оснастки нашего центра сертификации для этого. Нажимаем ПКМ на Certification Authority (Local) и нажимаем Retarget Certification Authority…

Рисунок 17 – Выбор центра сертификации.

Появляется окно выбора центров сертификации. Выбираем Another computer и пишем имя сервера, на котором расположен корневой центр сертификации.

Рисунок 18 – Окно выбора подключения.
Рисунок 19 – Завершение подключения.

Вот мы зашли на корневой центр сертификации для управления сертификатами. Здесь нам надо будет перейти в папку Pending Requests где будут находиться запросы на сертификат

Рисунок 20 – папка менеджера с запросами на сертификат.

Для подтверждения сертификата мы нажимаем Issue.

Рисунок 21 – Подтверждение запроса.

Переходим в папку Issued Certificates жмём ПКМ на наш сертификат и открываем его во вкладке Details нажимаем Copy to File. Следуем инструкции.

Рисунок 22 – Просмотр подтверждённого сертификата.
Рисунок 23 – Приветственное окно экспорта сертификата.
Рисунок 24 – Выбор типа файла сертификата.
Рисунок 25 – Выбор расположения.
Рисунок 26 – Место сохранения сертификата на локальном сервере.
Рисунок 27 – Проверка места и имени сохранения сертификата.
Рисунок 28 – Проверка выбранных настроек.
Рисунок 29 – Оповещение об успешном экспорте.

Возвращаемся на наш сервер для этого выполняем тоже самое что мы делали чтобы зайти сюда только в этот раз мы выбираем Local computer.

Рисунок 30 – Возврат на локальный ЦС.

По возвращению нам нужно установить сертификат для это всё в той же оснастке выполним следующее действие. Нажимаем Install CA Certificate… и выбираем сертификат который мы сохранили.

Рисунок 31 – Установка сертификата.
Рисунок 32 – Успешная установка автоматически запускает ЦС.

Посмотреть установленные сертификаты можно в Properties во вкладке General.

Рисунок 33 – Просмотр сертификатов.

Добавить комментарий