Как открыть центр сертификации windows server

Установка центра сертификации

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016

Эту процедуру можно использовать для установки служб Active Directory сертификат (AD CS) для регистрации сертификата сервера на серверах с сервером политики сети (NPS), службой маршрутизации и удаленного доступа (RRAS) или и тем, и другим.

  • Перед установкой служб сертификации Active Directory , вы должны дать компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену. Дополнительные сведения о выполнении этих задач см. в разделе Основы работы с сетью для Windows Server 2016.
  • Для выполнения этой процедуры компьютер, на котором вы устанавливаете AD CS, должен быть присоединен к домену, в котором установлена ​​служба AD CS. . Доменные службы Active Directory (AD DS).

Членство в Enterprise администраторах и администраторах корневого домена является минимальным требованием для выполнения этой процедуры.

Если вы хотите Чтобы выполнить процедуру с помощью Windows PowerShell, откройте Windows PowerShell, введите следующую команду и нажмите Enter.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

После установки AD CS введите введите следующую команду и нажмите клавишу ВВОД.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Установите службы сертификации Active Directory

Если вы хотите использовать Windows для установки служб сертификации Active Directory PowerShell, прочитайте install-adcCertificationAuthority для подпрограмм и необязательных параметров.

Войдите в систему как член группы администраторов предприятия и группы администраторов домена корневого домена.

Откройте диспетчер серверов, нажмите Управление и нажмите Добавить роли и функции . Откроется мастер добавления ролей и компонентов.

На странице Прежде чем начать нажмите Далее .

Страница Прежде чем начать Мастер добавления ролей и компонентов не появится, если Пропустить эту страницу по умолчанию был выбран при последнем запуске мастера.

На Выберите тип установки Убедитесь, что выбрано Установить компоненты или Компоненты , затем нажмите Далее .

На странице выберите целевой сервер и сделайте убедитесь, что выбран Выберите сервер из группы серверов . На странице Группа серверов убедитесь, что выбран Локальный компьютер. Нажмите Далее .

В окне Выбрать роль сервера в списке Роль выберите Роль сервера . Сертификаты Active Directory. Когда будет предложено добавить необходимые компоненты, нажмите Добавить компоненты , а затем нажмите Далее .

В окне Выбрать компоненты нажмите Далее .

В разделе Сертификация Active Directory прочтите предоставленную информацию и нажмите Далее .

Вкл. страница Подтвердите выбранные элементы для установки нажмите кнопку Установить . Не закрывайте мастер в процессе установки. После завершения установки нажмите Настроить службы сертификатов Active Directory на целевом сервере . Откроется мастер настройки служб сертификатов Active Directory. Прочтите информацию об учетных данных и, при необходимости, укажите учетные данные для учетной записи, которая является членом группы администраторов предприятия. Нажмите Далее .

Читайте также:  Как получить seamens book

В разделе Службы ролей нажмите Центр сертификации , а затем нажмите Далее .

На странице Тип установки убедитесь, что выбран ЦС предприятия , а затем нажмите Далее .

На странице Введите ЦС Войдите на страницу , убедитесь, что выбран Root CA и нажмите Next .

На странице введите закрытый ключ , убедитесь, что Создать новый закрытый ключ Выбран и затем нажмите Далее .

На странице Центр сертификации шифрования оставьте настройки по умолчанию для CSP ( RSA # Software Key Storage Service Provider ) и алгоритм хэширования ( SHA2 ) и определить максимальную длину символов ключа для расширения. Длинные ключевые символы обеспечивают оптимальную безопасность; Однако они могут повлиять на производительность сервера и могут быть несовместимы со старыми приложениями. По умолчанию рекомендуется значение 2048. Нажмите Далее .

На странице Имя ЦС оставьте предложенное общее имя ЦС или измените имя в соответствии с вашими потребностями. . Убедитесь, что имя ЦС совместимо с соглашениями об именовании и целями, поскольку имя ЦС нельзя изменить после установки AD CS. Нажмите Далее .

На странице Срок действия в поле Введите период действия введите число и выберите значение времени (годы, месяцы, недели или дней). Мы рекомендуем использовать значение по умолчанию, равное пяти годам. Нажмите Далее .

На странице База данных ЦС в поле Введите расположение базы данных введите расположение папки для базы данных сертификатов. и регистрация в базе сертификатов. Если указаны расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены списками управления доступом (ACL), которые предотвращают доступ неавторизованных пользователей или компьютеров к базе данных ЦС и файлам журналов. Нажмите Далее .

В окне Подтверждение нажмите кнопку настроить применить настройки и затем нажмите кнопку <. 10> Закрыть .

Источник<15

Заметки ИТ-специалистов

Технический блог специалистов ООО «Интерфейс»

  • Главная
  • Сервер Windows. Создание автономного удостоверяющего центра.

Сервер Windows. Создайте независимый ЦС.

Каждый администратор рано или поздно должен обеспечить безопасный обмен информации через Интернет, внешние и внутренние сети, а также аутентификацию каждой стороны, участвующей в обмене информацией. На помощь приходят инфраструктура открытых ключей (PKI) и службы сертификации Windows.

В продвинутом курсе администрирования MikroTik вы сможете научиться настраивать MikroTik с нуля или систематизировать имеющиеся знания. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет работу в лаборатории и следит за прогрессом каждого своего ученика. В 3 раза больше информации, чем в программе MTCNA поставщика, более 20 часов практики и постоянный доступ.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для проверки личности владельца и разрешает передачу трафика по открытым сетям связи и с ними. для надежной защиты и эффективной аутентификации пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который выдает, отзывает и проверяет сертификаты.

Читайте также:  Как получить id пользователя yii2

Почему это может быть необходимо на практике? Цифровые сертификаты позволяют использовать шифрование прикладного уровня (SSL/TLS) для защиты веб-сайтов, электронной почты, служб терминалов и т. д., регистрации доменов с помощью смарт-карт, аутентификации пользователей виртуальной частной сети (VPN), шифрования жесткого диска (EFS) и, в некоторых случаях, обходя использование паролей.

Для создания центра сертификации нам нужен сервер с Windows Server, который может быть выделен или совмещать функцию центра сертификации с другими функциями. Однако обратите внимание, что вы не сможете измениться после развертывания центра сертификации. Имя компьютера и членство в домене (рабочей группе).

Центр сертификации (ЦС) может быть двух типов: корпоративный ЦС и изолированный (независимый) ЦС, давайте рассмотрим их отличительные особенности:

ЦС предприятия

  • Требуется Active Directory
  • Автоматическая проверка сертификата
  • Автоматическое развертывание сертификата
  • Возможность запрашивать сертификаты через веб-интерфейс, мастер запросов и автоматический развертывание

Изолированный (автономный) ЦС

  • Не требует Active Directory
  • Ручная проверка сертификата
  • Нет возможности автоматического развертывания
  • Запрос сертификата через веб-интерфейс

Методология развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько отличается, поэтому мы решили обсудить их отдельно.

Windows Server 2003

Чтобы использовать веб-интерфейс для выдачи сертификатов, нам нужен установленный веб-сервер IIS. Установите его с помощью диспетчера серверов: Домашняя страница — Управление этим сервером — Добавление или удаление функции .
Выберите роль Application Server из списка ролей. В следующем окне установите флажок Включить ASP.NET , если IIS уже установлен, этот шаг можно пропустить.

После установки IIS приступим к реализации ЦС. делается с помощью модуля оснастки Установка и удаление программ — Установка компонентов Windows , где выбираем Certification Services .

Следующим шагом является выбор типа ЦС и его подчиненности. Так как в нашем случае сеть не имеет структуры леса, Enterprise CA недоступен для выбора. Поскольку это первый (и пока единственный) ЦС, необходимо выбрать корневой сервер, а для развертывания нескольких ЦС, таких как филиалы, необходимо выбрать подчиненный тип.

Затем введите имя из CA (должно совпадать с именем сервера) и путь к файлу. В процессе установки программа попросит вас перезапустить IIS, и если поддержка страниц ASP.NET не была включена, она попросит вас включить ее, что вы должны принять.

Windows Server 2008 R2

В системе Windows Server 2008 (2008 R2) все настройки объединены в одном месте, что делает установку УЦ проще и удобнее. Выберите Администратор сервера — Роли — Добавить роли , в списке ролей выберите Active Directory Certificate Services .

В следующем окне не забудьте добавить компонент Служба онлайн-регистрации центра сертификации . В то же время службы ролей и необходимые функции (такие как IIS) будут автоматически обнаружены и предложены для их добавления.

Следующая конфигурация аналогична Windows Server 2003. имя и место хранения файла, подтвердите выбор компонента и завершите установку.

Читайте также:  Как открыть свой кабинет по развитию ребенка

Проверьте работу ЦС

Можно запустить модуль оснастки Центр сертификации ( Пуск — Администрирование — Центр сертификатов). Если бы все было сделано правильно, вы должны увидеть следующее окно:
Теперь попробуем получить сертификат для клиентского ПК. Запускаем браузер, в адресную строку которого вводим адрес http://имя_сервера/certsrv , где имя_сервера — имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Во-первых, необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных корневых центров сертификации. Если в вашей сети несколько центров сертификации, вам необходимо загрузить и установить цепочку сертификатов. Для этого выберите: Загрузить сертификат ЦС, цепочку сертификатов или CRL , а затем Загрузить сертификат ЦС или Загрузить сертификат ЦС и сохранить сертификат в подходящем месте.

Теперь переходим к установке, для этого правой кнопкой мыши на файле сертификата и выбираем Установить сертификат , откроется мастер импорта в котором Отклоняем автоматически выбираем сохранить вручную выбрав Доверенный корневых ЦС , теперь этот компьютер будет доверять всем сертификатам, выданным этим ЦС.

Чтобы получить сертификат клиента, снова откройте веб-страницу ЦС и выберите Запрос сертификата — Расширенный запрос сертификата. Создайте и отправьте запрос в этот ЦС . Заполните форму запроса, введите ПК или имя пользователя в качестве имени, введите Сертификат аутентификации клиента в качестве типа сертификата и нажмите Выдать .

При попытке создания сертификата вы можете получить следующее предупреждение:

В этом случае вы можете добавить этот сайт в зону доверенных серверов и установить низкий уровень безопасности этой зоны. В Windows Server вам также необходимо включить загрузку неподписанных ActiveX.

Теперь на сервере откройте плагин Центр сертификации и в Ожидающие запросы найдите наш запрос и щелкните по нему правой кнопкой мыши и выберите Все задачи — Проблема .

Теперь вернитесь к клиентскому компьютеру и снова откройте страницу ЦС. На этот раз выберите View Pending Certificate Request Status , вы увидите свой запрос, нажмите на него, чтобы перейти на страницу Certificate Issued , и вы сможете установить его немедленно.

Если вы сделаете это правильно, сертификат будет успешно установлен в вашем личном хранилище сертификатов.

После завершения проверки не забудьте удалить все ненужные сертификаты с клиентского ПК и отозвать их из ЦС на server.

Узнайте, как настроить MikroTik с нуля или систематизировать существующие. Знания доступны в расширенном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет работу в лаборатории и следит за прогрессом каждого своего ученика. В 3 раза больше информации, чем в программе MTCNA провайдера, более 20 часов практики и постоянный доступ.

Была ли эта статья полезной? Поддержите автора и будут новые статьи публикуются чаще:

Или подписывайтесь на наш Telegram-канал:

Источник

Поделиться с друзьями
Решатор