Внимание! В данном разделе рассматривается вариант установки Удостоверяющего Центра на базе MSCA и С-Терра КП на одном компьютере. Это необязательное условие, Удостоверяющий Центр может быть установлен на другом компьютере. Для выпуска сертификатов для VPN-устройств может быть использован любой Удостоверяющий Центр, не только MSCA. При использовании Удостоверяющего центра на базе MSCA у администратора появляется дополнительная возможность по удаленному взаимодействию с Удостоверяющим Центром непосредственно из консоли управления сервера КП.
Запустите «КриптоПро CSP» и инсталлируйте ключевой считыватель Реестр для хранения контейнера с секретным ключом СА сертификата, как описано в разделе «Инсталляция ключевого считывателя Реестр в «КриптоПро CSP».
Для инсталляции Удостоверяющего Центра Microsoft Certification Authority запустите Server Manager (Start-Administrative Tools-Server Manager) и войдите в раздел Roles. Выберите Add Roles и инсталлируйте Web Server (IIS).
Затем, выполните инсталляцию Active Directory Certificate Services (Рисунок 48), которую опишем подробнее для MS Windows Server 2008. Описание инсталляции необходимых сервисов для MS Windows Server 2012 приведено в Приложении.
Рисунок 48
Шаг1: Установите флажки Certification Authority и Certification Authority Web Enrollment и нажмите Next.
Рисунок 49
Шаг 2: Переключатель должен стоять в положении Standalone, нажмите Next.
Рисунок 50
Шаг 3: Поставьте переключатель в положение Root CA и нажмите Next.
Рисунок 51
Шаг 4: Поставьте переключатель в положение Create a new private key.
Рисунок 52
Шаг 5: Выберите криптопровайдера Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider и установите флажок Allow administrator interaction when the private key is accessed by the CA, нажмите Next.
Рисунок 53
Шаг 6: Заполните поля для CA сертификата и нажмите Next.
Рисунок 541
Шаг 7: Укажите период действия для сертификата.
Рисунок 55
Шаг 8: В окне с указанием о размещении хранилища оставьте значения по умолчанию и нажмите Next.
Рисунок 56
Шаг 9: Нажмите Install.
Рисунок 57
Шаг 10: Выберите ключевой носитель Registry, куда будет записан контейнер с секретным ключом для CA сертификата.
Рисунок 58
Шаг 11: Подвигайте мышкой или понажимайте клавиши, пока происходит создание ключевой пары.
Рисунок 59
Шаг 12: Задайте пароль к созданному контейнеру.
Рисунок 60
Шаг 13: Укажите пароль к созданному контейнеру.
Рисунок 61
Шаг 14: Инсталляция Удостоверяющего Центра завершена, нажмите Close.
Рисунок 62
Шаг 15: Для автоматического создания подписываемых сертификатов по запросу проведите некоторые настройки Удостоверяющего Центра. Вызовите Certificate Authority (Start- Administrative Tools-Certification Authority), выделите центр СА и нажмите Properties. В окне Properties войдите во вкладку Policy Module (Рисунок 63) и нажмите кнопку Properties…
Рисунок 63
Шаг 16: В появившемся окне Properties установите переключатель в положение Follow the settings… (автоматически издавать сертификат по запросу) (Рисунок 64) и нажмите ОК.
Рисунок 64
Шаг 17: В окне Windows default выдается предупреждение о необходимости перезапуска сертификатного сервиса:
Рисунок 65
Шаг 18: В окне Certificate Authority выберите предложение меню Action, в выпадающем меню предложение All Tasks, а в следующем выпадающем меню – предложение Stop Service. После остановки сервиса выберите предложение Start Service.
Рисунок 66
Шаг 19: На конечном этапе запустите файл Others\UPMSCA\upmsca.msi из состава дистрибутива Сервера управления.
Внимание! Upmsca может быть установлен как на локальном, так и на удаленном компьютере. Далее рассмотрен пример локального использования. Для установки на удаленный сервер требуется разрешить прохождение tcp-трафика (порт 80) до Сервера управления.
В открывшемся окне нажмите кнопку Next (Рисунок 67).
Рисунок 67
Шаг 20: Согласитесь с лицензионным соглашением и нажмите кнопку Next (Рисунок 68).
Рисунок 68
Шаг 21: Выберите каталог для установки или оставьте путь по умолчанию. Нажмите кнопку Next (Рисунок 69).
Рисунок 69
Шаг 22: Для устаноки плагина UPMSCA нажмите кнопку Install (Рисунок 70). По окончании установки нажмите кнопку Finish.
Рисунок 70
Примечание:
Для возможности дальнейшего выбора криптопровайдера “КриптоПро CSP” в окне создания запроса на сертификат, выполните следующее: в файле System32\certsrv\certsgcl.inc измените значение константы Const nMaxProvType с 25 на 99. В стандартном скрипте перечислено только 25 типов криптопровайдера.