Блог

Автоматическая регистрация сертификатов в домене

Никаких ошибок быть не. Если есть ошибка, необходимо её точно идентифицировать и устранить. В случае успешной настройки оснастка будет выглядеть следующим образом для корневого ЦС: И для издющего ЦС: Если вся итоговая конфигурация соответствует ожидаемым значениям и оснастка Enterprise PKI Health не показывает ошибок, это может судить о том, что PKI установлена верно.

Рекомендации После того, как все ЦС установлены, сконфигурированы и их работоспособность проверена, можно приступать к их эксплуатации. В этом разделе я дам несколько полезных рекомендаций, которых следует придерживаться, чтобы предостеречь себя от возможных потенциальных проблем во время эксплуатации PKI.

Шаблоны сертификатов Наряду с установкой издающего ЦС, в Active Directory устанавливается набор уже готовых шаблонов сертификатов. Рекомендации по шаблонам сертификатов: Использование готовых шаблонов сертификатов Я рекомендую использовать их копии, даже если вы не планируете вносить в них изменения. Для создания копии шаблона выберите в списке подходящий шаблон, в контекстном меню выберите Duplicate Template и создайте его копию. Целесообразно в имя шаблона включить название компании, чтобы отличить предустановленный шаблон от вами созданного.

Это позволит сравнить настройки исходного и вами созданного шаблона в случае неработоспособности шаблона. Версия шаблона Начиная с Windows Serverинтерфейс создания шаблона несколько изменился. В самом начале появляется окно с выбором версии ОС на ЦС и предполагаемом клиенте: Если у вас используются современные версии ОС например, Windows 7 и вышеможет появиться желание выставить настройки на максимум. Если вы не уверены, что ваше приложение совместимо с CNG Cryptography Next Generationследует использовать настройки, которые приведены на картинке.

Например, большинство приложений, написанных. Успешно такие сертификаты смогут использовать приложения, которые используют. Это настраивается в настройках шаблона сертификата, во вкладке Subject Name. Если выбран второй пункт как на картинкеЦС игнорирует имя субъекта из запроса сертификата и заполняет эти поля из свойств учётной записи пользователя или устройства, которое запрашивает сертификат. В ряде случаев это не подходит например, сертификаты для внутренних веб-сайтов и имя субъекта заполняется из значения в запросе сертификата.

Тогда переключатель необходимо выставить в верхнее положение. Это необходимо затем, что имя для сертификата никак не проверяется. Если этот момент не контролировать, пользователь может запросить сертификаты на любое имя и скомпрометировать весь лес Active Directory.

Вряд ли вы позволите рядовому пользователю получить сертификат на имя администратора. После требования одобрения запроса менеджером сертификатов на ЦС, каждый запрос с явным указанием субъекта сертификата будет попадать на ЦС в папку Pending Requests и не будет подписан, пока оператор ЦС не изучит его содержимое и не примет решение о выпуске.

В противном случае запрос должен быть отклонён. Права на шаблоны сертификатов Шаблоны сертификатов в Active Directory хранятся в разделе configuration naming context, который реплицируется между всеми контроллерами домена в лесу. Поэтому для назначения прав на шаблоны сертификатов можно использовать только глобальные и универсальные группы.

Избегайте назначения прав отдельным пользователям и устройствам. Рассмотрим несколько аспектов, связанных с обновлением сертификатов ЦС.

при регистрации домена

Периодичность обновления сертификата ЦС Это делается в следующих случаях: Срок жизни сертификата ЦС истекает; Ключ ЦС скомпрометирован; Необходимо изменить длину ключа или алгоритм подписи; Слишком большой список отзыва больше нескольких мегабайт.

Первый вопрос, если всё идёт штатно, за какое время до истечения срока действия сертификата ЦС его нужно обновлять? Сертификат издающего ЦС должен обновляться за максимальный срок действия издаваемых сертификатов.

В нашем случае срок действия сертификата издающего ЦС 15 лет, а максимальный срок действия издаваемых сертификатов 5 лет см. Это означает, что сертификат издающего ЦС необходимо обновить через 10 лет. Если это время затянуть, то мы не сможем обеспечить необходимый срок действия для самого долгосрочного шаблона. Порядок обновления ЦС В нашей двухуровневой иерархии сертификаты корневого и издающего ЦС имеют одинаковый срок действия. Поэтому, когда вы принимаете решение об обновлении сертификата любого ЦС, необходимо обновлять их.

Первым обновляется сертификат корневого ЦС, затем сертификат издающего ЦС. Генерация ключей при обновлении сертификатов ЦС При обновлении сертификатов ЦС вам предлагается две опции: В диалоговом окне обновления ключевой пары приведены рекомендации Microsoft по выбору ключевой пары. Однако, практика показывает, что эти рекомендации устарели. Следует всегда генерировать новую ключевую пару. При использовании нескольких сертификатов ЦС клиентский модуль построения цепочки сертификатов иногда может ошибиться и выбрать неправильный сертификат.

бесплатный тест хостинг серверов

В базе знаний Microsoft отмечены такие проблемы. Примеры статей: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs. При генерации новой ключевой пары для каждого сертификата будет гарантирован только один путь к корневому сертификату и модуль построения цепочек сертификатов уже не ошибётся.

Сертификаты компьютеров не поддерживают взаимодействие с пользователем, поэтому они не должны использоваться совместно с отложенными запросами. Как только шаблон сертификата c надлежащей записью ACE будет перечислен, процесс автоматической подачи заявки начнет поиск в Active Directory центра сертификации предприятия, который бы мог выдать шаблон. При обнаружении более одного центра сертификации предприятия, клиент начинает их проверять в случайном порядке с целью равномерного распределения нагрузки до тех пор, пока не будет найден центр сертификации, готовый выдать сертификат.

Модуль политики по умолчанию центра сертификации предприятия приводит профили сертификатов и безопасность подачи заявки в соответствие с тем, как это определено в шаблонах. Автоматическая подача заявки также будет осуществлять повторную подачу заявки на шаблон в том случае, если установлен параметр Подать повторную заявку для всех владельцев сертификатов Reenroll all certificate holders. Если используется центр сертификации, разработанный сторонним производителем не Microsoftто для того, чтобы принять запрос автоматической подачи заявки от клиента Windows XP, он должен эмулировать интерфейс ICertRequest2 так, как это определено в документации Platform SDK Platform Software Development Kit.

Процесс автоматической подачи заявки использует следующие методы для подачи заявки и связи с центром сертификации предприятия:. В данном разделе описывается настройка шаблонов сертификатов и приводится в качестве примера пошаговое руководство по созданию нового шаблона для автоматической подачи заявки на сертификат смарт-карты. Кроме того, описываются разрешения для шаблона сертификата.

Для того, чтобы можно было пользоваться автоматической подачей заявки, необходимо сначала создать шаблон сертификата в службе каталогов Active Directory. Шаблоны версии 2 поддерживает только домен на основе Windows Server и только Windows Server Enterprise Edition может выпускать сертификаты шаблона версии 2. Рисунок 1 - Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты. Active Directory делает запрос и определяет, можно ли пользователю подавать заявку.

Это чрезвычайно полезная функция для тех пользователей, у которых нет перемещаемых профилей, и которые работают на нескольких компьютерах. Без этой настройки и без перемещаемых профилей пользователь будет автоматически зарегистрирован на любом компьютере, на котором осуществил вход включая серверы.

Если у пользователя нет такой смарт-карты, то ему не удастся воспользоваться автоматической подачей заявки для этого шаблона сертификата. Если на данной вкладке разрешить более одного поставщика служб криптографии CSP для смарт-карты, то во время выполнения подачи заявки на этот шаблон будет выдан запрос пользователю о каждом выбранном поставщике служб криптографии CSP. Действия могут отличаться в зависимости от наличия поставщиков служб криптографии CSPдоступных на клиентском компьютере.

Если у пользователя только одна смарт-карта, то ему необходимо будет отклонить все выдаваемые запросы об остальных недоступных поставщиках служб криптографии CSP. Данное поведение является особенностью продукта. Для успешного выполнения подачи заявки необходимо также указать минимальный размер ключа шифрования, который поддерживается выбранным поставщиком служб криптографии CSP.

Windows Hello для бизнеса » Блог Виталия Лещенко

Данная опция не нужна, если шаблоны сертификатов не предполагается использовать для смарт-карт или если пользователь не хочет отвечать на появляющиеся запросы подачи заявки на сертификаты. Для сертификатов компьютеров не нужно устанавливать этот флажок. Если его установить, компьютер не сможет выполнить автоматическую подачу заявки.

Если шаблон подходит для автоматической подачи заявки, то это будет автоматически отражено на статусе в столбце Автоматическая подача заявки Autoenrollment. Пользователь не сможет изменить значение статуса. Автоматическая подача заявки не будет разрешена в том случае, если шаблон требует наличия более чем одной подписи центра регистрации RA - registration authority или если шаблон поставляется запросившей его стороной.

Столбец не отражает состояние списка ACL автоматической подачи заявки шаблона. Между различными смарт-картами и производителями поставщиков криптографии CSP нет полной совместимости.

Пошаговая инструкция по установке и настройке центра сертификации | Блог разработчиков

Для того, чтобы пользователь или компьютер могли выполнять подачу заявки на шаблон сертификата, для шаблона должен быть соответствующий набор разрешающих записей ACE в службе каталогов Active Directory.

Пользователь или компьютер должны иметь разрешения, как на чтение, так и на запись для того, чтобы выполнить подачу заявки на выбранный шаблон сертификата. В данном разделе описывается настройка центра сертификации предприятия корпорации Microsoft необходимая после его создания для выпуска шаблонов сертификатов.

Возможна ситуация, когда центр сертификации не сможет мгновенно выдать шаблон сертификата из-за задержки репликации и кэширования шаблона в реестре. Время выдачи зависит от задержки репликации между контроллерами домена. Для обеспечения автоматической подачи заявки на сертификаты в домене необходимо выполнить настройку групповой политики для сайта, домена или подразделения.

Настройка политики компьютера для автоматической подачи заявки на сертификаты компьютера и контроллера домена производится аналогично, хотя и управляется через политику компьютера групповой политики. Windows Поиск на сайте: Новые программы oszone. Display Driver Uninstaller С помощью DDU вы сможете удалить драйверы полно TreeSize Professional 7.

Программа для определения занятого места на жестком диске. TreeSize позволяет найти файлы и папки, которые занимают боль Xvid4PSP 7.

Calendarscope 9. Многофункциональный календарь-планировщик с функциями напоминателя, будильника, синхронизатора с КПК на базе Windows Mob ArsClip 5. Утилита, расширяющая возможности стандартного буфера обмена. Программа запоминает наиболее часто копируемую в буфер инфо Этот процесс включает в себя: Поддержка отложенных запросов сертификатов и обновления сертификатов Автоматическая подача заявки пользователем в ОС Windows XP Professional поддерживает как отложенные запросы сертификатов, так и обновление сертификатов.

Если требуется блокировать автоматическую регистрацию, установите флажок Не регистрировать сертификаты автоматически. Если следует включить автоматическую регистрацию сертификатов, можно установить следующие флажки:.

Настройка автоматической регистрации сертификатов

Настроить шаблон сертификата для разрешения работы с автоматической регистрацией. Настроить политику автоматической регистрации сертификатов в домене. Дважды щелкните Клиент службы сертификации - автоматическая регистрация.

Перейдем на клиента и попробуем получить сертификат. Перейдите в Personal Личное и создайте запрос на получение сертификата, выполнив Request New Certificate Запросить новый сертификат. Выберите политику Active Directory. В типах сертификатов отметьте ранее созданный шаблон. Если планируется использование нескольких сертификатов для одного пользователя, желательно присвоить имя запрашиваемому сертификату. Откройте свойства заявки. На вкладке General Общие укажите Friendly name Понятное имя.

Сохраните и закройте свойства. Заявка успешно завершена, сертификат получен. В Certificate Manager Tool можно посмотреть параметры сертификата. Мы получили сертификат только для одного пользователя, а когда пользователей много, такой способ не очень удобен.

Для облегчения процесса давайте настроим автоматическую раздачу сертификатов групповой политикой. Для начала необходимо изменить свойства, созданного ранее шаблона, сделать его доступным для автоматической выдачи. Найдите созданный шаблон в Server Manager и откройте свойства. Следующий шаг — настроить групповую политику автоматической регистрации сертификатов для домена. Можно изменить политику по-умолчанию, но лучше создать новую, так мы сможем ограничить круг пользователей, охватываемых политикой.

Введите имя групповой политики, например: Отредактируйте созданную политику. Включите автоматическую регистрацию сертификатов и флажки: Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты; Обновлять сертификаты, использующие шаблоны сертификатов.

Маликова Ольга: