Versions Compared

Old Version 1

changes.mady.by.user Mikhail Yakovlev

Saved on

compared with

New Version Current

changes.mady.by.user Mikhail Yakovlev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Для работы с Indeed Certificate Manager обязательно необходим шаблон сертификата Агент регистрации регистрации (Enrollment Agent). Cертификат Агент регистрации (Enrollment Agent), а также все остальные шаблоны выданный на имя сервисной учетной записи (serviceca) необходим для подписи запроса на сертификат от имени других пользователей по всем остальным шаблонам сертификатов, которые будут использоваться системой Indeed CM.

Например, создайте копию шаблона 

Ниже описан процесс настройки шаблона сертификата пользователя на примере шаблона Вход со смарт-картой (Smartсard Logon), который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте.

  1. Откройте
    2. оснастку 
  2. консоль управления Центр сертификации (Certification Authority).
  3. Перейдите в раздел Шаблоны сертификатов (Certificate Templates) в дереве консоли Центр сертификации (Certification Authority), щелкните правой кнопкой мыши выберите Управление (Manage).
  4. Щелкните правой кнопкой мыши по шаблону Вход со смарт-картой (Smartсard Logon) и выберите Скопировать шаблон (Duplicate Template).
  5. Откройте свойства созданного шаблона сертификата Копия "Вход со смарт-картой" (Copy of Smartсard Logon) и перейдите на вкладку Требования выдачи (Issuance Requirements).
  6. Отметьте опцию Требовать для регистрации: Указанного числа авторизованных подписей (This number of authorised signatures) и укажите число подписей, равное 1 (значение по умолчанию).
  7. Установите значения политик: Политика применения (Application Policy) и Агент запроса сертификата (Certificate Request Agent), см. Рисунок 1:
    Image Removed

Рисунок 1 – Настройка шаблона сертификата Microsoft CA: Требования выдачи.

7. В случае, если необходимо использовать секретный ключ какой-либо определенной длины, укажите необходимую длину ключа на вкладке Шифрование(Cryptography) в
  1. Перейдите на вкладку Общие (General) и в поле Отображаемое имя шаблона (Template display name) введите Indeed Smart Сard Logon. Измените Период действия (Validity period) и Период обновления (Renewal period) в соответствии с потребностями вашей организации.

  2. На вкладке Шифрование (Cryptography) в поле Минимальный размер ключа (Minimum key size) укажите необходимую длину ключа.  

    Tip

    Вкладка Обработка запроса (Request Handling) для Microsoft CA 2008/2008R2.


    Warning

    Обратите внимание на размер ключей шифрования указанный в свойствах шаблонов сертификатов, которые планируется использовать.

Warning

  1.  Чтобы снизить риск несанкционированного доступа к конфиденциальной информации компания Майкрософт выпустила несвязанное с безопасностью обновление (KB 2661254) для всех поддерживаемых версий Microsoft Windows. Это обновление блокирует криптографические ключи меньше 1024 бит. Обновление не относится к Windows 8 (и выше) или Windows Server 2012 (и выше), т.к. эти операционные системы уже могут блокировать использование ключей RSA меньше 1024 бит. Подробная информация об этом обновлении содержится на сайте службы поддержки компании Майкрософт: https://support.microsoft.com/kb/2661254.

8.


  2. На вкладке Требования выдачи (Issuance Requirements):
    • Установите флажок Указанного числа авторизованных подписей (This number of authorised signatures) и укажите число подписей, равное 1 (значение по умолчанию).
    • Выберите Политики применения (Application Policy) из списка В подписи требуется указать тип политики (Policy type required in signature).
    • Выберите Агент запроса сертификата (Certificate Request Agent) из списка Политика применения (Application Policy).
    • Выберите параметр Тех же уcловий, что и для регистрации (Same criteria as for enrollment) в разделе Требовать для повторной регистрации (Require the following for reenrollment).Image Added
  3. На вкладке Имя субъекта (Subject Name
) отключите опции 
  1. ) нажмите Строится на основе данных Active Directory (Build from this Active Directory information).
    • Выберите Полное различающееся имя (Fully distinguished name) из списка Формат имени субъекта (Subject name format).
    • Установите флажок Имя субъекта-пользователя (UPN) (User principal name (UPN)).
    • Снимите флажки с опций Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной
почты 
    • почты (E-mail name)
в свойствах шаблона сертификата

Image Removed

Рисунок 2 – Настройка шаблона сертификата Microsoft CA: Имя субъекта.

9. На вкладке Безопасность (Security) добавьте сервисную учетную запись (serviceca) и назначьте для нее права на 
    • , если требуется выпуск сертификата пользователям, у которых не указан E-mail в
учетных данных (Рисунок 2).
    • Active Directory.Image Added
  2. На вкладке Безопасность (Security) нажмите кнопку Добавить... (Add...).
    • В поле Введите имена выбираемых объектов (Enter the object names to select) введите имя сервисной учетной записи (serviceca) и нажмите ОК.

    • В разделе Разрешения для группы (Permissions for) установите флажок Разрешить (Allow) для привилегий 

    • Чтение (Read) и Заявка (Enroll)

, см

    • .

Рисунок 3:

    • Warning

      Обязательно выдайте аналогичные

права

    • разрешения сервисной учетной записи для шаблона Агент регистрации (Enrollement Agent) и для всех шаблонов сертификатов, которые будут использоваться Indeed CM.

Image Removed

Рисунок 3 – Настройка шаблона сертификата Microsoft CA: Безопасность.

10.

    • Image Added

  2. Сохраните настройки шаблона, нажав ОК
.1Вкладка Обработка запроса (Request Handling) для Microsoft CA 2008/2008R2
  1. .