Установка и настройка Удостоверяющего Центра MSCA на MS Windows Server 2008

Запустите «КриптоПро CSP» и установите ключевой считыватель Реестр для хранения контейнера с секретным ключом СА сертификата.

Для установки Удостоверяющего Центра Microsoft Certification Authority запустите Server Manager (Start-Administrative Tools-Server Manager) и войдите в раздел Roles. Выберите Add Roles и установите Web Server (IIS).

Затем выполните установку Active Directory Certificate Service, которую опишем далее.

Рисунок 302

Шаг 1:      Установите флажки Certification Authority и Certification Authority Web Enrollment и нажмите Next.

Рисунок 303

Шаг 2:      Переключатель должен стоять в положении Standalone, нажмите Next.

Рисунок 304

Шаг 3:      Поставьте переключатель в положение Root CA и нажмите Next.

Рисунок 305

Шаг 4:      Поставьте переключатель в положение Create a new private key.

Рисунок 306

Шаг 5:      Выберите криптопровайдера Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider и установите флажок Allow administrator interaction when the private key is accessed by the CA, нажмите Next.

Рисунок 307

Шаг 6:      Заполните поля для CA сертификата и нажмите Next.

Рисунок 3081

Шаг 7:      Укажите период действия для сертификата.

Рисунок 309

Шаг 8:      В окне с указанием о размещении хранилища оставьте значения по умолчанию и нажмите Next.

Рисунок 310

Шаг 9:      Нажмите Install.

Рисунок 311

Шаг 10:     Выберите ключевой носитель Registry, куда будет записан контейнер с секретным ключом для CA сертификата.

Рисунок 312

Шаг 11:     Подвигайте мышкой или понажимайте клавиши, пока происходит создание ключевой пары.

Рисунок 313

Шаг 12:     Задайте пароль к созданному контейнеру.

Рисунок 314

Шаг 13:     Укажите пароль к созданному контейнеру.

Рисунок 315

Шаг 14:     Установка Удостоверяющего Центра завершена, нажмите Close.

Рисунок 316

Шаг 15:     Для автоматического создания подписываемых сертификатов по запросу проведите некоторые настройки Удостоверяющего Центра. Вызовите Certificate Authority (Start- Administrative Tools-Certification Authority), выделите центр СА и нажмите Properties.  В окне Properties войдите во вкладку Policy Module (Рисунок 317) и нажмите кнопку Properties…

Рисунок 317

Шаг 16:     В появившемся окне Properties установите переключатель в положение Follow the settings… (автоматически издавать сертификат по запросу) (Рисунок 318) и нажмите  ОК.

Рисунок 318

Шаг 17:     В окне Windows default выдается предупреждение о необходимости перезапуска сертификатного сервиса:

Рисунок 319

Шаг 18:     В окне Certificate Authority выберите предложение меню Action, в выпадающем меню предложение All Tasks, а в следующем выпадающем меню – предложение Stop Service. После остановки сервиса выберите предложение Start Service.

Рисунок 320

Шаг 19:     На конечном этапе запустите файл Others\UPMSCA\upmsca.msi из состава дистрибутива Сервера управления.

               В открывшемся окне нажмите кнопку Next (Рисунок 321).

Рисунок 321

Шаг 20:     Подтвердите, что принимаете условия лицензионного соглашения и нажмите кнопку Next (Рисунок 322).

Рисунок 322

Шаг 21:     Выберите директорию для установки или оставьте путь по умолчанию. Нажмите кнопку Next (Рисунок 323).

Рисунок 323

Шаг 22:     Для установки плагина UPMSCA нажмите кнопку Install (Рисунок 324). По окончании установки нажмите кнопку Finish.

Рисунок 324

Шаг 23:     Для отключения времени жизни пароля внутреннего пользователя upmsca1234516 (по умолчанию – 2 недели, по истечении данного срока при отправке запросов на сертификаты может возникать ошибка), запустите консоль от имени Администратора и выполните команду:

%WINDIR%\System32\wbem\WMIC.exe USERACCOUNT where name="upmsca1234516" set PasswordExpires=false