Установка и настройка Удостоверяющего Центра. Создание СА сертификата

Перед созданием ключевой пары и запроса на сертификат пользователя опишем как создать Удостоверяющий Центр (центр сертификации – CA) средствами MS, который будет издавать сертификат пользователю.

На отдельном компьютере установите ОС Windows Server 2008 R2 и СКЗИ «КриптоПро CSP».

Запустите «КриптоПро CSP» и инсталлируйте ключевой считыватель Реестр для хранения контейнера с секретным ключом СА сертификата, как описано в разделе «Инсталляция ключевого считывателя Реестр в «КриптоПро CSP».

 

Для инсталляции Удостоверяющего Центра Microsoft Certification Authority запустите Server Manager (Start-Administrative Tools-Server Manager) и войдите в раздел Roles. Выберите Add  Roles и инсталлируйте Web  Server (IIS).

Затем, выполните инсталляцию Active  Directory  Certificate  Services  (Рисунок 16), которую опишем подробнее.

Рисунок 16

 

Шаг 1:установите флажки Certification Authority и Certification Authority Web Enrollment и нажмите Next.

Рисунок 17

 

 

Шаг 2: переключатель должен стоять в положении Standalone, нажмите Next.

Рисунок 18

 

Шаг 3: поставьте переключатель в положение Roote  CA и нажмите Next. 

Рисунок 19

 

Шаг 4: поставьте переключатель в положение Create  a  new  private  key.

Рисунок 20

 

Шаг 5: выберите криптопровайдера Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider и установите флажок Allow administrator interaction when the private key is accessed by the CA, нажмите Next.

Рисунок 21

 

Шаг 6: заполните поля для CA сертификата и нажмите Next.

Рисунок 22

 

Шаг 7: укажите период действия для сертификата.

Рисунок 23

 

 

Шаг 8: в окне с указанием о размещении хранилища оставьте значения по умолчанию и нажмите Next.

Рисунок 24

 

Шаг 9: нажмите Install.

Рисунок 25

 

Шаг 10: выберите ключевой носитель Registry, куда будет записан контейнер с секретным ключом для CA сертификата.

Рисунок 26

 

Шаг 11: подвигайте мышкой или понажимайте клавиши, пока происходит создание ключевой пары.

Рисунок 27

 

Шаг 12: задайте пароль к созданному контейнеру.

Рисунок 28

 

Шаг 13: укажите пароль к созданному контейнеру.

Рисунок 29

 

Шаг 14: инсталляция Удостоверяющего Центра завершена, нажмите Close.

Рисунок 30

 

Шаг 15: для автоматического создания подписываемых сертификатов по запросу проведите некоторые настройки Удостоверяющего Центра. Вызовите Certificate Authority (Start- Administrative Tools-Certification Authority), выделите центр СА и нажмите Properties.  В окне Properties войдите во вкладку Policy Module (Рисунок 31) и нажмите кнопку Properties

Рисунок 31

 

Шаг 16: в появившемся окне Properties установите переключатель в положение Follow  the  settings… (автоматически издавать сертификат по запросу) (Рисунок 32) и нажмитеОК.

Рисунок 32

 

Шаг 17: в окне Windows  default выдается предупреждение о необходимости перезапуска сертификатного сервиса:

Рисунок 33

 

Шаг 18: в окне Certificate  Authority выберите предложение меню Action, в выпадающем меню предложение All  Tasks, а в следующем выпадающем меню – предложение Stop  Service. После остановки сервиса выберите предложение Start  Service.

Рисунок 34

 

На этом создание Удостоверяющего Центра и его СА сертификата закончено.

 

Примечание:

Для возможности дальнейшего выбора криптопровайдера “КриптоПро CSP” в окне создания запроса на сертификат, выполните следующее:

в файле System32\certsrv\certsgcl.inc измените значение константы Const  nMaxProvType с 25 на 99. В стандартном скрипте перечислено только 25 типов криптопровайдера.