Перед созданием ключевой пары и создания запроса на локальный сертификат опишем, как создать Удостоверяющий Центр (Центр Сертификации – CA) средствами MS, который будет выдавать локальный сертификат для S-Terra Gate. Если Вам известен Сертификационный Центр, который по Вашему запросу будет издавать сертификат, то перейдите к следующему разделу – созданию ключевой пары, в противном случае – создайте свой Удостоверяющий Центр.
На отдельном компьютере установите ОС Windows Server 2008 R2 и СКЗИ «КриптоПро CSP 3.6R2».
Запустите «КриптоПро CSP» и инсталлируйте ключевой носитель, например Реестр, для хранения контейнера с секретным ключом СА сертификата.
Для инсталляции Удостоверяющего Центра Microsoft Certification Authority запустите Server Manager (Start-Administrative Tools-Server Manager) и войдите в раздел Roles. Выберите Add Roles и инсталлируйте Web Server (IIS).
Затем, выполните инсталляцию Active Directory Certificate Services (Рисунок 16), которую опишем подробнее.
Рисунок 16
Шаг 1: установите флажки Certification Authority и Certification Authority Web Enrollment и нажмите Next.
Рисунок 17
Шаг 2: переключатель должен стоять в положении Standalone, нажмите Next.
Рисунок 18
Шаг 3: поставьте переключатель в положение Roote CA и нажмите Next.
Рисунок 19
Шаг 4: поставьте переключатель в положение Create a new private key.
Рисунок 20
Шаг 5: выберите криптопровайдера Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider и установите флажок Allow administrator interaction when the private key is accessed by the CA, нажмите Next.
Рисунок 21
Шаг 6: заполните поля для CA сертификата и нажмите Next.
Рисунок 22
Шаг 7: укажите период действия для сертификата.
Рисунок 23
Шаг 8: в окне с указанием о размещении хранилища оставьте значения по умолчанию и нажмите Next.
Рисунок 24
Шаг 9: нажмите Install.
Рисунок 25
Шаг 10: выберите ключевой носитель Registry, куда будет записан контейнер с секретным ключом для CA сертификата.
Рисунок 26
Шаг 11: подвигайте мышкой или понажимайте клавиши, пока происходит создание ключевой пары.
Рисунок 27
Шаг 12: задайте пароль к созданному контейнеру.
Рисунок 28
Шаг 13: укажите пароль к созданному контейнеру.
Рисунок 29
Шаг 14: инсталляция Удостоверяющего Центра завершена, нажмите Close.
Рисунок 30
Шаг 15: для автоматического создания подписываемых сертификатов по запросу проведите некоторые настройки Удостоверяющего Центра. Вызовите Certificate Authority (Start- Administrative Tools-Certification Authority), выделите центр СА и нажмите Properties. В окне Properties войдите во вкладку Policy Module (Рисунок 31) и нажмите кнопку Properties…
Рисунок 31
Шаг 16: в появившемся окне Properties установите переключатель в положение Follow the settings … (автоматически издавать сертификат по запросу) (Рисунок 32) и нажмитеОК.
Рисунок 32
Шаг 17: в окне Windows default выдается предупреждение о необходимости перезапуска сертификатного сервиса:
Рисунок 33
Шаг 18: в окне Certificate Authority выберите предложение меню Action, в выпадающем меню предложение All Tasks, а в следующем выпадающем меню – предложение Stop Service. После остановки сервиса выберите предложение Start Service.
Рисунок 34
На этом создание Удостоверяющего Центра и его СА сертификата закончено.
Примечание:
Если была установлена версия 3.6R2 СКЗИ «КриптоПро CSP», то для возможности дальнейшего выбора криптопровайдера «КриптоПро CSP» в окне создания запроса на сертификат, выполните следующее:
в файле System32\certsrv\certsgcl.inc измените значение константы Const nMaxProvType с 25 на 99. В стандартном скрипте перечислено только 25 типов криптопровайдера.