S-p.su

Антикризисные новости
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как открыть центр сертификации

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Windows Server. Создание автономного центра сертификации.

Windows Server. Создание автономного центра сертификации.

  • Автор: Уваров А.С.
  • 19.11.2010

Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.

Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

ЦС предприятия

  • Требует наличия ActiveDirectory
  • Автоматическое подтверждение сертификатов
  • Автоматическое развертывание сертификатов
  • Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание

Изолированный (автономный) ЦС

  • Не требует наличия ActiveDirectory
  • Ручное подтверждение сертификатов
  • Отсутствие возможности автоматического развертывания
  • Запрос сертификатов только через Web-интерфейс

Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.

Windows Server 2003

Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск — Управление данным сервером — Добавить или удалить роль.
В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.

После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ — Установка компонентов Windows, где выбираем Службы сертификации.

Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.

Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

Windows Server 2008 R2

В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера — Роли — Добавить роли, в списке ролей выбираем Службы сертификации Active Directory.

Читать еще:  Что нужно чтобы открыть фотостудию

В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск — Администрирование — Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv, где имя_сервера — имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL, затем Загрузка сертификата ЦС или Загрузка сертификата ЦС и сохраняем сертификат в любое удобное место.

Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат, откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации, теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.

Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата — расширенный запрос сертификатаСоздать и выдать запрос к этому ЦС. Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать.

При попытке создать запрос сертификата вы можете получить следующее предупреждение:

В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.

Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи — Выдать.

Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата, вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.

По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.

Как открыть «Хранилище сертификатов» в Windows 7

Открываем «Хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Читать еще:  Как открыть мини кофейню с нуля

Способ 1: Окно «Выполнить»

  1. При помощи нажатия комбинации клавиш «Win+R» попадаем в окошко «Выполнить». Вводим в командную строку certmgr.msc .

Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.

В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.


Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем «Открыть».

Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.

Способ 2: Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

    Открываем «Пуск» и переходим в «Панель управления».

В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».

В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Что такое удостоверяющий центр?

Чтобы получить неквалифицированный и квалифицированный сертификат электронной подписи, необходимо обратиться в один из удостоверяющих центров. Какие функции выполняют удостоверяющие центры и сколько времени займет получение сертификата?

Удостоверяющий центр (УЦ) – доверенная организация, которая имеет право выпускать сертификаты электронной подписи юридическим и физическим лицам. Работа УЦ лежит на пересечении юриспруденции, информационной безопасности и IT-технологий.

В обязанности УЦ входят следующее:

  • удостоверить личность человека, который обратился за сертификатом электронной подписи,
  • изготовить и выдать сертификат, в который включены данные о владельце сертификата и его открытый ключ проверки,
  • управлять жизненным циклом сертификата (выпуск, приостановление, возобновление, окончание срока действия).

Какие виды подписей выдает УЦ?

Получать в УЦ необходимо последние две:

  • за квалифицированной подписью нужно обращаться только в аккредитованный Минкомсвязью РФ удостоверяющий центр.
  • за неквалифицированной — в УЦ, который связан с той информационной системой, где планируется применять подпись. Например, выдавать неквалифицированные сертификаты для торгов могут только УЦ, аккредитованные шестью федеральными электронными торговыми площадками. При этом УЦ может и не быть аккредитован в Минкомсвязи.

Требования к УЦ

От корректной работы УЦ зависит доверие ко всем сферам бизнеса, где применяются электронные подписи: электронные торги, информационные системы, отчетности. Поэтому ко всем УЦ накладываются серьезные технические и юридические требования.

Существует ряд показателей, по которым можно оценить удостоверяющий центр. Надежный УЦ:

  • аккредитован Минкомсвязи РФ,
  • является доверенным центром ФНС, ПФР, Росстата,
  • имеет лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации,
  • лицензию Центра по лицензированию, сертификации и защите государственной тайны ФСБ России,
  • аккредитован на всех электронных торговых площадках госзакупок,
  • долго работает
  • имеет представителей в различных регионах России
  • оказывает круглосуточную техподдержку

Сколько времени занимает получение сертификата подписи?

Сроки выпуска сертификата зависят от обеих сторон:

  • от того, насколько быстро клиент подготовит все необходимые документы и оплатит выпуск сертификата,
  • насколько быстро специалисты УЦ обработают заявку, проверят документы и удостоверят его личность.
Читать еще:  Как начать собственное дело

В среднем получение сертификата занимает 1 рабочий день. В УЦ СКБ Контур есть услуга по срочному выпуску электронной подписи за 1 час после получения нужных документов.

Как экспортировать открытый ключ?

Экспорт файла открытого ключа можно осуществить следующими способами:

1. Экспорт из хранилища Личные.

Для этого необходимо проделать следующие действия:

  • Выбрать меню Пуск (Настройки) / Панель управления / Свойства обозревателя (либо Свойства браузера)​. Перейти на вкладку Содержание и нажать на кнопку Сертификаты (см. рис. 1). Рис. 1. Окно «Свойства обозревателя»/вкладка «Содержание».
  • Найти в списке нужный сертификат и нажать на кнопку Экспорт (см. рис. 2).

Если в списке отсутствует нужный сертификат, необходимо перейти к пункту 2.

Рис. 3. Параметры экспорта закрытого ключа.

  • В окне Мастер экспорта сертификатов нажать на кнопку Далее. Затем отметить пункт Нет, не экспортировать закрытый ключ и выбрать Далее (см. рис. 3).
  • В окне Формат экспортируемого файла выбрать Файлы X.509 (.CER) в кодировке DER и нажать на кнопку Далее (см. рис. 4). Рис. 4. Формат экспортируемого файла.
  • В следующем окне необходимо кликнуть по кнопке Обзор, указать имя и каталог для сохранения файла. Затем нажать на кнопку Сохранить (см. рис. 5). Рис. 5. Сохранение файла.
  • В следующем окне нажать на кнопку Далее, затем Готово. Дождаться сообщения об успешном экспорте.

2. Экспорт файла открытого ключа с помощью Крипто Про.

Для этого необходимо проделать следующие действия:

Рис. 6. Окно «Свойства КриптоПро CSP».

  • Выбрать меню Пуск / Панель управления / Крипто Про CSP. Перейти на вкладку Сервис и нажать на кнопку Просмотреть сертификаты в контейнере (см. рис. 6).
  • В открывшемся окне нажать на кнопку Обзор, чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку Ок (см. рис. 7). Рис. 7. Окно выбора контейнера для просмотра.
  • В следующем окне кликнуть по кнопке Далее.

Если после нажатия на кнопку Далее появляется сообщение В контейнере закрытого ключа отсутствует открытый ключ шифрования, необходимо перейти к пункту 3.

  • В окне Сертификат для просмотра необходимо нажать кнопку Свойства (см. рис. 8). Рис. 8. Окно просмотра сертификата

Рис. 9. Вкладка «Состав».

  • В открывшемся файле сертификата следует перейти на вкладку Состав и нажать кнопку Копировать в файл (см. рис. 9).
  • В открывшемся окне Мастер экспорта сертификатов нажать на кнопку Далее. Затем отметить пункт Нет, не экспортировать закрытый ключ и выбрать Далее (см. рис. 10). Рис. 10. Параметры экспорта закрытого ключа.
  • В окне Формат экспортируемого файла выбрать Файлы X.509 (.CER) в кодировке DER и нажать на кнопку Далее (см. рис. 11). Рис. 11. Формат экспортируемого файла.
  • В следующем окне необходимо кликнуть по кнопке Обзор, указать имя и каталог для сохранения файла. Затем нажать на кнопку Сохранить (см. рис. 12). Рис. 12. Сохранение файла.
  • В следующем окне нажать на кнопку Далее, затем Готово. Дождаться сообщения об успешном экспорте. Закрыть все окна программы Крипто Про.
Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector