Интеграция с Microsoft CA
Создайте учетную запись пользователя (например, serviceca), от имени которой система будет запрашивать сертификаты пользователей в центре сертификации и выдайте данной учетной записи права на работу с центром сертификации:
1. Откройте оснастку Центр сертификации (Certification Authority), выберите центр сертификации и перейдите в его Свойства (Properties).
2. На вкладке Безопасность (Security) нажмите Добавить (Add).
3. В качестве пользователя укажите сервисную учетную запись (serviceca).
4. Для выбранной учетной записи укажите разрешения на Выдачу и управление сертификатами (Issue and Manage Certificates) и сохраните настройки, нажав ОК.
5. Перейдите в раздел Шаблоны сертификатов (Certificate Templates) в дереве консоли Центр сертификации (Certification Authority), щелкните правой кнопкой мыши выберите Управление (Manage).
6. В свойствах безопасности шаблона Агент регистрации (Enrollement Agent) добавьте сервисную учетную запись и назначьте для нее права на Чтение (Read) и Заявка (Enroll). Выдайте аналогичные права для всех шаблонов сертификатов, которые будут использоваться системой Indeed CM.
Например, для шаблона Вход со смарт-картой (Smartсard Logon), который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте.
Если предполагается использование нескольких центров сертификации с Indeed CM, то сервисной учетной записи необходимо выдать одинаковый набор привилегий для всех центров сертификации.
Добавление шаблонов сертификатов в центр сертификации
Прежде, чем приступить к настройке центра сертификации для работы с системой Indeed CM, обратите внимание на размер ключей шифрования указанный в свойствах шаблонов сертификатов, которые планируется использовать.
Чтобы снизить риск несанкционированного доступа к конфиденциальной информации компания Майкрософт выпустила несвязанное с безопасностью обновление (KB 2661254) для всех поддерживаемых версий Microsoft Windows. Это обновление блокирует криптографические ключи меньше 1024 бит. Обновление не относится к Windows 8 (и выше) или Windows Server 2012 (и выше), т.к. эти операционные системы уже могут блокировать использование ключей RSA меньше 1024 бит. Подробная информация об этом обновлении содержится на сайте службы поддержки компании Майкрософт: https://support.microsoft.com/kb/2661254.
1. Откройте оснастку Центр Сертификации (Certification Authority) и дважды щелкните имя ЦС.
2. Кликните правой кнопкой мыши на контейнере Шаблоны сертификатов (Certificate Templates), выберите команду Создать (New), а затем – пункт Выдаваемый шаблон сертификата (Certificate Template to Issue).
3. Обязательно выберите шаблон сертификата Агент регистрации (Enrollment Agent), а также все остальные шаблоны сертификатов, которые будут использоваться системой Indeed CM, и нажмите кнопку ОК.
Настройки шаблонов сертификатов для работы с Indeed CM
1. Откройте свойства шаблона сертификата и перейдите на вкладку Требования выдачи (Issuance Requirements).
2. Отметьте опцию Требовать для регистрации: Указанного числа авторизованных подписей (This number of authorised signatures) и укажите число подписей, равное 1 (значение по умолчанию).
3. Установите значения политик: Политика применения (Application Policy) и Агент запроса сертификата (Certificate Request Agent), см. Рисунок 1:
Рисунок 1 – Настройка шаблона сертификата Microsoft CA: Требования выдачи.
4. В случае, если необходимо использовать секретный ключ какой-либо определенной длины, укажите необходимую длину ключа на вкладке Обработка запроса1 (Request Handling) в поле Минимальный размер ключа (Minimum key size).
5. На вкладке Имя субъекта (Subject Name) отключите опции Включить имя электронной почты в имя субъекта (Include e-mail name in subject name) и Имя электронной почты (E-mail name) в свойствах шаблона сертификата, если требуется выпуск сертификата пользователям, у которых не указан E-mail в учетных данных (Рисунок 2).
Рисунок 2 – Настройка шаблона сертификата Microsoft CA: Имя субъекта.
Выпуск сертификата Enrollment Agent
Наличие в системе Indeed CM пользователя, обладающего сертификатом Агент регистрации (Enrollment Agent) необходимо для того, чтобы от имени этого пользователя системой запрашивались сертификаты для всех пользователей. Сертификат может быть создан двумя способами:
- При помощи утилиты IndeedCM.CertEnroll.MsCA.exe, поставляемой вместе с дистрибутивом сервера Indeed CM (каталог Misc).
- При помощи оснастки Сертификаты (Certificates) Microsoft Windows.
1. Выпуск сертификата при помощи утилиты IndeedCM.CertEnroll.MsCA.exe
Для выпуска сертификата с назначением Enrollment Agent запустите от имени учетной записи с правами локального администратора на сервере Indeed CM утилиту IndeedCM.CertEnroll.MsCA.exe с параметром /e <service username> <Password>, где <service username> – имя сервисной учетной записи для работы с центрами сертификации (serviceca), <Password> – пароль сервисной учетной записи.
Пример: IndeedCM.CertEnroll.MsCA.exe /e serviceca password1
Результат работы утилиты:
CA: 2016ca.demo.local\DemoMSCA Certificate has been enrolled successfully.
Если запрос на сертификат должен быть одобрен оператором УЦ, то утилита предложит принять запрос и продолжить работу, указав при этом порядковый номер запроса и имя ключевого контейнера:
CA: 2016ca.demo.local\DemoMSCA Certificate request is pending. Request id: 27 Container name: lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354 Please accept request and then install certificate.
После одобрения запроса оператором необходимо выполнить команду для установки сертификата в хранилище.
Для этого запустите утилиту IndeedCM.CertEnroll.MsCA.exe с параметром /i <service username> <password> <requestId> <containerName>, где:
- service username – имя сервисной учетной записи для работы с центрами сертификации (serviceca)
- password – пароль сервисной учетной записи
- requestId – порядковый номер запроса на сертификат
- containerName – имя ключевого контейнера
Пример:
IndeedCM.CertEnroll.MsCA.exe /i serviceca password1 27 lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
Результат работы утилиты:
CA: 2016ca.demo.local\DemoMSCA Certificate has been installed successfully.
В результате работы утилиты в хранилище сертификатов компьютера, на котором установлен сервер Indeed CM, появится сертификат с назначением Агент запроса сертификатов (Enrollement Agent) с экспортируемым закрытым ключом и настроенными правами на управление закрытым ключом для учетной записи сервисного пользователя.
В случае необходимости можно указать имя шаблона сертификата (параметр /t) и центр сертификации (параметр /c) к которому следует обратиться (если развернуто несколько центров сертификации). Имя шаблона по умолчанию – Агент регистрации (Enrollment Agent). Поддерживаются шаблоны с любыми именами, имеющие Улучшенный ключ (Extended Key Usege) Агент запроса сертификата (Certificate Request Agent). Имя шаблона сертификата указывается без пробелов.
Пример:
IndeedCM.CertEnroll.MsCA.exe /e service password /t=”CopyEnrollmentAgent” /c=”WS2008R2.test.local\Indeed-CA”
2. Выпуск сертификата при помощи оснастки Сертификаты (Certificates)
1. Выполните вход в систему под сервисной учетной записью (serviceca) и откройте оснастку Сертификаты (Certificates) пользователя.
2. Запустите мастер выпуска нового сертификата.
3. Выберите тип сертификата Агент регистрации (Enrollment Agent), разверните окно подробной информации и нажмите кнопку Свойства (Properties), см. Рисунок 3.
Рисунок 3 – Свойства шаблона Агент Регистрации.
4. Перейдите на вкладку Закрытый ключ (Private key), разверните меню Параметры ключа (Key options) и включите опцию Сделать закрытый ключ экспортируемым (Allow private key to be exported), см. Рисунок 4.
Рисунок 5 – Свойства шаблона Агент Регистрации: Закрытый ключ.
5. Переместите выпущенный сертификат и его закрытый ключ в хранилище сертификатов компьютера, на котором развернут сервер Indeed CM.
6. Выдайте сервисному пользователю (serviceca) права на чтение закрытого ключа сертификата Агент регистрации (Enrollment Agent). Для этого в оснастке Сертификаты (Certificates) компьютера кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) – Управление закрытыми ключами... (Manage Private Keys...), нажмите Добавить (Add), укажите нужную учетную запись и выставите право Полный доступ (Full control). Нажмите Применить (Apply).
Подключение к центру сертификации Microsoft через IndeedCM.MSCA.Proxy
Indeed CM может взаимодействовать с центрами сертификации Microsoft, располагающимися за пределами домена, в котором находятся сервер Indeed CM. Например, в конфигурации, когда у одной организации есть несколько независимых доменов с самостоятельными центрами сертификации в каждом, а Indeed CM развернут только в одном из этих доменов. При этом учетные записи пользователей в этих доменах одинаковы.
Использование компонента IndeedCM.MSCA.Proxy позволит запрашивать и записывать на устройства при помощи Indeed CM сертификаты со всех УЦ, находящихся за пределами того домена, в котором развернут Indeed CM. В такой схеме в политику использования устройств Indeed CM добавляется адрес MSCA Proxy, который развернут во внешнем домене с каталогом пользователей и центром сертификации. При выпуске устройства Indeed CM обращается к MSCA Proxy, а тот, используя сертификат Агента Регистрации (располагается в хранилище рабочей станции с установленным компонентом IndeedCM.MSCA.Proxy) передает запрос на целевой центр сертификации.
Для установки и настройки приложения MSCA Proxy выполните следующие действия:
1. Создайте во внешнем домене сервисную учетную запись для работы с центром сертификации Microsoft (см. Интеграция с Microsoft CA).
2. Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см. Настройки шаблонов сертификатов для работы с Indeed CM) и выпустите для этой учетной записи сертификат по этому шаблону (см. Выпуск сертификата Enrollment Agent).
Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент IndeedCM.MSCA.Proxy.