Versions Compared

Old Version 14

changes.mady.by.user Mikhail Yakovlev

Saved on

compared with

New Version 15

changes.mady.by.user Mikhail Yakovlev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Для работы с Indeed Certificate Manager обязательно необходим шаблон сертификата Агент регистрации (Enrollment Agent), а также все остальные шаблоны сертификатов, которые будут использоваться системой Indeed CM.

Например, создайте копию шаблона Вход со смарт-картой (Smartсard Logon), который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте.

  1. Откройте
    2. оснастку 
  2. консоль управления Центр сертификации (Certification Authority).
  3. Перейдите в раздел Шаблоны сертификатов (Certificate Templates) в дереве консоли Центр сертификации (Certification Authority), щелкните правой кнопкой мыши выберите Управление (Manage).
  4. Щелкните правой кнопкой мыши по шаблону Вход со смарт-картой (Smartсard Logon) и выберите Скопировать шаблон (Duplicate Template).
  5. Откройте свойства созданного шаблона сертификата Копия "Вход со смарт-картой" (Copy of Smartсard Logon) и перейдите на вкладку Требования выдачи (Issuance Requirements).
  6. Отметьте опцию Требовать для регистрации: Указанного числа авторизованных подписей (This number of authorised signatures) и укажите число подписей, равное 1 (значение по умолчанию).
  7. Установите значения политик: Политика применения (Application Policy) и Агент запроса сертификата (Certificate Request Agent):

Image Removed

7. В случае, если необходимо использовать секретный ключ какой-либо определенной длины, укажите необходимую длину ключа на вкладке Шифрование (Cryptography) в
  1. Перейдите на вкладку Общие (General) и в поле Отображаемое имя шаблона (Template display name) введите Indeed Smart Сard Logon. Измените Период действия (Validity period) и Период обновления (Renewal period) в соответствии с потребностями вашей организации.

  2. На вкладке Шифрование (Cryptography) в поле Минимальный размер ключа (Minimum key size)

. Обратите внимание на размер ключей шифрования указанный в свойствах шаблонов сертификатов, которые планируется использовать.8.

  1. укажите необходимую длину ключа.  

    Tip

    Вкладка Обработка запроса (Request Handling) для Microsoft CA 2008/2008R2.


    Warning

    Обратите внимание на размер ключей шифрования указанный в свойствах шаблонов сертификатов, которые планируется использовать. Чтобы снизить риск несанкционированного доступа к конфиденциальной информации компания Майкрософт выпустила несвязанное с безопасностью обновление (KB 2661254) для всех поддерживаемых версий Microsoft Windows. Это обновление блокирует криптографические ключи меньше 1024 бит. Обновление не относится к Windows 8 (и выше) или Windows Server 2012 (и выше), т.к. эти операционные системы уже могут блокировать использование ключей RSA меньше 1024 бит. Подробная информация об этом обновлении содержится на сайте службы поддержки компании Майкрософт: https://support.microsoft.com/kb/2661254

.

  1. .


  2. На вкладке Требования выдачи (Issuance Requirements):
    • Установите флажок Указанного числа авторизованных подписей (This number of authorised signatures) и укажите число подписей, равное 1 (значение по умолчанию).
    • Выберите Политики применения (Application Policy) из списка В подписи требуется указать тип политики (Policy type required in signature).
    • Выберите Агент запроса сертификата (Certificate Request Agent) из списка Политика применения (Application Policy).
    • Выберите параметр Тех же уловий, что и для регистрации (Same criteria as for enrollment) в разделе Требовать для повторной регистрации (Require the following for reenrollment).Image Added
  1. На вкладке Имя субъекта (Subject Name
) отключите опции 
  1. ) нажмите Строится на основе данных Active Directory (Build from this Active Directory information).
    • Выберите Полное различающееся имя (Fully distinguished name) из списка Формат имени субъекта (Subject name format).
    • Установите флажок Имя субъекта-пользователя (UPN) (User principal name (UPN)).
    • Снимите флажки с опций Включить имя электронной почты в имя
субъекта 
    • субъекта (Include e-mail name in subject name) и Имя электронной
почты 
    • почты (E-mail name)
в свойствах шаблона сертификата
    • , если требуется выпуск сертификата пользователям, у которых не указан E-mail в учетных данных.
    • Image Modified
9.
  1. На
вкладке
  1. вкладке Безопасность (Security
) добавьте сервисную учетную запись (serviceca) и назначьте для нее права на 
  1. ) нажмите кнопку Добавить... (Add...).
    • В поле Введите имена выбираемых объектов (Enter the object names to select) введите имя сервисной учетной записи (serviceca) и нажмите ОК.

    • В разделе Разрешения для группы (Permissions for) установите флажок Разрешить (Allow) для разрешений Чтение (Read) и Заявка (Enroll)

:

    • .

      Warning

      Обязательно выдайте аналогичные права для шаблона Агент регистрации (Enrollement Agent) и для всех шаблонов сертификатов, которые будут использоваться Indeed CM.

      Image Modified

10.
  1. Сохраните настройки шаблона, нажав ОК.