Внимание!

В данном разделе рассматривается вариант установки Удостоверяющего Центра на базе MSCA и С-Терра КП на одном компьютере. Это необязательное условие, Удостоверяющий Центр может быть установлен на другом компьютере. Для выпуска сертификатов для VPN устройств может быть использован любой Удостоверяющий Центр, не только MSCA. При использовании Удостоверяющего центра на базе MSCA у администратора появляется дополнительная возможность по удаленному взаимодействию с Удостоверяющим Центром непосредственно из консоли С-Терра КП.

 

Запустите «КриптоПро CSP» и установите ключевой считыватель Реестр для хранения контейнера с секретным ключом СА сертификата.

Для установки Удостоверяющего Центра Microsoft Certification Authority запустите Диспетчер серверов - Управление - Добавить роли и компоненты. Пройдите по шагам мастера и инсталлируйте Веб-сервер (IIS).

Затем, выполните установку Службы сертификации Active Directory, которую опишем подробнее для MS Windows Server 2012 (актуальна также для MS Windows Server 2016, MS Windows Server 2019 и MS Windows Server 2022).

Шаг 1:      Запустите Диспетчер серверов - Управление - Добавить роли и компоненты.

Рисунок 92

Шаг 2:      В окне Мастера добавления ролей нажмите Далее.

Рисунок 93

Шаг 3:      Выберите тип установки - Установка ролей или компонентов и нажмите Далее.

Рисунок 94

Шаг 4:      В окне выбора целевого сервера нажмите Далее, если выбран единственный добавленный в диспетчере сервер.

Рисунок 95

Шаг 5:      В следующем окне выберите роль - Службы сертификатов Active Directory  - откроется окно подтверждения набора ролей (Рисунок 97), нажмите кнопку Добавить компоненты и в предыдущем окне нажмите Далее.

Рисунок 96

Рисунок 97

Шаг 6:      Пропустите шаг добавления компонентов, а также информацию о службе сертификатов, нажав Далее.

 

Рисунок 98

 

Рисунок 99

Шаг 7:      Выберите службы ролей для установки - Центр сертификации и Служба регистрации в центре сертификации через Интернет - откроется окно подтверждения набора компонент (Рисунок 101), нажмите кнопку Добавить компоненты и в предыдущем окне нажмите Далее.

 

Рисунок 100

Рисунок 101

Шаг 8:      В следующем окне выбора служб ролей Веб-сервера (устанавливаются по умолчанию совместно с Active directory) оставьте выставленные флажки без изменений и нажмите Далее.

Рисунок 102

Шаг 9:      В окне подтверждения установки компонентов отметьте флажком пункт Автоматический перезапуск конечного сервера и нажмите Установить.

Рисунок 103

Шаг 10:     После завершения установки необходимо настроить службы сертификатов - нажмите на ссылку Настроить службы сертификатов Active Directory на конечном сервере.

 

Рисунок 104

Шаг 11:     В открывшемся окне нажмите Далее.

Рисунок 105

Шаг 12:     Отметьте флажком установленные ранее службы для настройки и нажмите Далее.

Рисунок 106

Шаг 13:     Вариант установки - Автономный ЦС, нажмите Далее.

Рисунок 107

Шаг 14:     Поставьте переключатель в положение Корневой ЦС и нажмите Далее.

Рисунок 108

Шаг 15:     Поставьте переключатель в положение Создать новый закрытый ключ, нажмите Далее.

Рисунок 109

Шаг 16:     Выберите криптопровайдера Crypto-Pro GOST R 34.10-2012  Cryptographic Service Provider и установите флажок Разрешить взаимодействие с администратором, если ЦС обращается к закрытому ключу, нажмите Далее.

Рисунок 110

Шаг 17:     Заполните поля для CA сертификата и нажмите Далее.

Рисунок 111

Шаг 18:     Укажите период действия для сертификата. Нажмите кнопку Далее.

Рисунок 112

Шаг 19:     В окне с указанием о размещении хранилища оставьте значения по умолчанию и нажмите Далее.

Рисунок 113

Шаг 20:     Нажмите кнопку Настроить.

Рисунок 114

Шаг 21:     Выберите ключевой носитель Registry (Реестр), куда будет записан контейнер с секретным ключом для CA сертификата, нажмите кнопку ОК.

Рисунок 115

Шаг 22:     Подвигайте мышкой или понажимайте клавиши, пока происходит создание ключевой пары. Внимание: при использованиии гаммы этот шаг пропускается.

Рисунок 116

Шаг 23:     Задайте пароль к созданному контейнеру.

Рисунок 117

Шаг 24:     Укажите пароль к созданному контейнеру и отметьте флажком пункт Save password (Запомнить пароль).

Рисунок 118

Шаг 25:     Установка Удостоверяющего Центра завершена (Рисунок 119). Для автоматического создания подписываемых сертификатов по запросу проведите некоторые настройки Удостоверяющего Центра. Перейдите в Диспетчер серверов - Служба сертификации и в контекстном меню выберите Центр сертификации (Рисунок 120).

Рисунок 119

Рисунок 120

 

Шаг 26:     В открывшемся окне выделите центр СА и в контекстном меню выберите Свойства.

Рисунок 121

Шаг 27:     В окне Свойства войдите во вкладку Модуль политики и нажмите кнопку Свойства…

Рисунок 122

 

Шаг 28:     В появившемся окне Свойства установите переключатель в положение Следовать параметрам… (автоматически издавать сертификат по запросу) и нажмите  ОК.

Рисунок 123

Шаг 29:     Выдается предупреждение о необходимости перезапуска служб сертификации. Нажмите кнопку ОК.

Рисунок 124

Шаг 30:     В окне Центр сертификации в контекстном меню выбранного ЦС выберите предложение Все задачи - Остановить службу. После остановки сервиса выберите предложение Запуск службы.

Рисунок 125

Шаг 31:     На конечном этапе запустите файл Others\UPMSCA\upmsca.msi из состава дистрибутива Сервера управления. В открывшемся окне нажмите кнопку Next.

Рисунок 126

Шаг 32:     Подтвердите, что принимаете условия лицензионного соглашения и нажмите кнопку Next.

Рисунок 127

Шаг 33:     Выберите директорию для установки или оставьте путь по умолчанию. Нажмите кнопку Next.

Рисунок 128

Шаг 34:     В окне User Configuration задайте собственные конфигурационные параметры UPMSCA или оставьте параметры по умолчанию. Затем нажмите кнопку Next (Рисунок 129).

Рисунок 129

•       UPMSCA Web site name - имя веб-сервера UPMSCA;

•       UPMSCA Web site port - порт веб-сервера UPMSCA;

•       Service user name - имя пользователя, с помощью которого UPMSCA будет взаимодействовать с хранилищем сертификатов сервера Microsoft;

•       Service user password - пароль пользователя;

•    Service user can be global - будет создана глобальная учетная запись пользователя;

•       Default certificate template - шаблон сертификата по умолчанию.

Шаг 35:     Для установки плагина UPMSCA нажмите кнопку Install (Рисунок 130). По окончании установки нажмите кнопку Finish (Рисунок 131).

Рисунок 130

Шаг 36:     Для отключения времени жизни пароля внутреннего пользователя upmsca1234516 (по умолчанию - 2 недели, по истечении данного срока при отправке запросов на сертификаты может возникать ошибка), запустите консоль от имени Администратора и выполните команду:

%WINDIR%\System32\wbem\WMIC.exe USERACCOUNT where name="upmsca1234516" set PasswordExpires=false

 

Рисунок 131