Интеграция с Microsoft CA
Создайте учетную запись пользователя (например, serviceca), от имени которой система будет запрашивать сертификаты пользователей в центре сертификации и выдайте данной учетной записи права на работу с центром сертификации:
1. Откройте оснастку Центр сертификации (Certification Authority), выберите центр сертификации и перейдите в его Свойства (Properties).
2. На вкладке Безопасность (Security) нажмите Добавить (Add).
3. В качестве пользователя укажите сервисную учетную запись (serviceca).
4. Для выбранной учетной записи укажите разрешения на Выдачу и управление сертификатами (Issue and Manage Certificates) и сохраните настройки, нажав ОК.
5. Перейдите в раздел Шаблоны сертификатов (Certificate Templates) в дереве консоли Центр сертификации (Certification Authority), щелкните правой кнопкой мыши выберите Управление (Manage).
6. В свойствах безопасности шаблона Агент регистрации (Enrollement Agent) добавьте сервисную учетную запись и назначьте для нее права на Чтение (Read) и Заявка (Enroll). Выдайте аналогичные права для всех шаблонов сертификатов, которые будут использоваться системой Indeed CM.
Например, для шаблона Вход со смарт-картой (Smartсard Logon), который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте.
| Warning |
|---|
Если предполагается использование нескольких центров сертификации с Indeed CM, то сервисной учетной записи необходимо выдать одинаковый набор привилегий для всех центров сертификации. |
Добавление шаблонов сертификатов в центр сертификации.
Прежде, чем приступить к настройке центра сертификации для работы с системой Indeed CM, обратите внимание на размер ключей шифрования указанный в свойствах шаблонов сертификатов, которые планируется использовать.
| Warning |
|---|
Чтобы снизить риск несанкционированного доступа к конфиденциальной информации компания Майкрософт выпустила несвязанное с безопасностью обновление (KB 2661254) для всех поддерживаемых версий Microsoft Windows. Это обновление блокирует криптографические ключи меньше 1024 бит. Обновление не относится к Windows 8 (и выше) или Windows Server 2012 (и выше), т.к. эти операционные системы уже могут блокировать использование ключей RSA меньше 1024 бит. Подробная информация об этом обновлении содержится на сайте службы поддержки компании Майкрософт: https://support.microsoft.com/kb/2661254. |
1. Откройте оснастку Центр Сертификации (Certification Authority) и дважды щелкните имя ЦС.
2. Кликните правой кнопкой мыши на контейнере Шаблоны сертификатов (Certificate Templates), выберите команду Создать (New), а затем – пункт Выдаваемый шаблон сертификата (Certificate Template to Issue).
3. Обязательно выберите шаблон сертификата Агент регистрации (Enrollment Agent), а также все остальные шаблоны сертификатов, которые будут использоваться системой Indeed CM, и нажмите кнопку ОК.
Настройки шаблонов сертификатов для работы с Indeed CM
1. Откройте свойства шаблона сертификата и перейдите на вкладку Требования выдачи (Issuance Requirements).
2. Отметьте опцию Требовать для регистрации: Указанного числа авторизованных подписей (This number of authorised signatures) и укажите число подписей, равное 1 (значение по умолчанию).
3. Установите значения политик: Политика применения (Application Policy) и Агент запроса сертификата (Certificate Request Agent), см. Рисунок 1:
Рисунок 1 – Настройка шаблона сертификата Microsoft CA: Требования выдачи.
4. В случае, если необходимо использовать секретный ключ какой-либо определенной длины, укажите необходимую длину ключа на вкладке Обработка запроса1 (Request Handling) в поле Минимальный размер ключа (Minimum key size).
5. На вкладке Имя субъекта (Subject Name) отключите опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name) в свойствах шаблона сертификата, если требуется выпуск сертификата пользователям, у которых не указан E-mail в учетных данных (Рисунок 2).
