Установка центров сертификации root ca Windows 2000 Server и Windows Server 2003 Part 1.

Всем большой привет. Пишу сегодня последние сообщение в старом году. Короче, сижу на работе 31.12... А дома - жена и сын. Вот и убиваю предпраздничное время в полупустом офисе.
Хочу описать настройку и установку корневого офлайн центра сертификации. За основание написания данного поста были взять материалы курса М2823, и эта статья на сайте M$.
Сначала я это проставил на 2003 винде, но потом, чисто из любопытства начал делать на 2000. Результат почти тот же.

Для начала будем ставить Stand-alone Offline Root CA.
Так как это счастье будет работать на 2003 сервере, то после установки винды ее не мешало бы обновить до SP2. (Скачать можно тут). Когда будем настраивать на 2000, то она должна быть уже с SP4. Далле, чтобы проставить драйвера на сеть, видео, и автомап мыши, делаем из консоли Hyper-V Action - Insert Integration Services Setup Disk, и в нашей гостевой системе ставятся необходимые дрова. После перезагрузки можно приступать к установке нашего цетра сертификации.
1. Для этого надо создать файл CAPolicy.inf следующего содержания, и положить его в %Systemroot% (Что и как значит в этом файле читаем в статье CAPolicy.inf Syntax):

[Version]
Signature= "$Windows NT$"

[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriodUnits=26
CRLPeriod=weeks
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=days

[CRLDistributionPoint]
Empty=True

[AuthorityInformationAccess]
Empty=True

Оговорюсь сразу: у меня не сработал буфер обмена между клиентом и виртуалкой... Выход я нашел следующий - файл, который необходимо пробросить внутрь виртуалки я конвертировал в ISO и подключал как компакт-диск.

2. Для начала установки заходим в Установку и Удаление программ, Компоненты Винды, там выбираем следующие компоненты:

IIS
Certificate Services
Internet Explorer
(Optional) Certificate Services Web enrollment support
(Optional) Internet Information Services for Web enrollment support

Далее просто копирую из статьи из сайта M$

3.In the Windows Components Wizard, select the Certificate Services check box, and then click Next.

4.In CA Type, click Stand-alone root CA, select the Use custom settings to generate the key pair and CA certificate check box, and then click Next.

5. Click Microsoft Strong Cryptographic Provider.

6.In Hash algorithm, click the default hash algorithm, SHA-1.

7.In Key length, click 4096.

8.Confirm that both the Allow this CSP to interact with the desktop check box and the Use an existing key check boxes are cleared, and then click Next.

9.On CA Identifying Information, in Common name for this CA, type a name that will identify the CA to you. In this example, use CorporateRootCA.

10.(Optional) In Distinguished name suffix, type DC=concorp,DC=contoso,DC=com.

В этом месте нужно указать реальный адрес, доступный из интернета
(Для Windows 2000 поле CA Name, оно идет первым в списке)

11.In Validity period, select 10 years.

12.In Certificate database and Certificate database log, enter the locations of the certificate database and the log files for the certificate database.
The certificate database and the certificate database log must be saved to a local NTFS hard disk.
Впринципе, можно оставить по умолчанию, так как предлагает система.

13.(Optional) To install a CA in the same location as a previously installed CA, select the Preserve existing certificate database check box.
Мы этого не делаем, так как у нас нет ни подписанного сертификата какой-либо другой конторой, и не было другого центра сертификации. Потому пропускаем.

14.Select the Store configuration information in a shared folder check box and, in Shared folder, enter a local pathname as the name for the shared folder, such as C:\CAConfig, and then click Next.

Теперь, мы имеем установленный корневой центр сертификации. Чтобы проверить, правильно ли мы все сделали, надо зайти в консоль Certification Authority раздела Administration Панели Управления. В открывшейся консоли кликаем правой машью по нашему центру сертификации и выбираем Properties. На вкладке General написано имя центра сертификации и его описание, а нажав по кнопку View Certificate можно просмотреть сертификат самого центра сертификации.
Вот. Центр сертификации установлен и в следующий раз я постараюсь написать, как проверить правильность настройки нашего корневого Центра Сертификации и поднять Enterprise CA на Windows Server 2008 R2 Enterprise.

Пользуясь случаем, хочу искренне поздравить всех с Новым 2010 годом и наступающим Рождеством Христовым. Удачи всем в новом году.

Настройка RSAT на Windows 7 для подключения к Windows Server 2008 R2 Hyper-V

Всем привет. У нас для тестовых и учебных нужд развернули Hyper-V. Благо железяка позволяет.
Так вот. Для поднятия корневого центра сертификации (и утилизации старой лицензии 2000 Сервера) надо поставить 2000 Сервер. Проблема в том, что при подключению к Hyper-V по RDP я не могу подключить мышь внутрь виртуалки с 2000. Тут-то на выручку и пришел RSAT для Windows 7. Но не без проблем.
Я не претендую на то, что мои действия это истинна в последней инстанции. Просто я описываю свои действия.
0. Идем на эту страницу и скачиваем RSAT, после чего его ставим, следуя инструкциям на сайте M$.
1. На своей локальной машине создаю пользователя с таким же именем и паролем, как и на серваке Hyper-V.
2. (Временное решение). Отключаю на серваке файервол для внутренней сети.
3. На локальной машине в консоли пишу:
а. DCOMCNFG
б. Прохожу к: “Component Services > Computers > My Computer”.
в. Открываю свойства “My Computer” в выбираю вкладку COM Security.
г. В секции “Access Permissions” нажимаю кнопку “Edit Limits”.
д. Выбираю группу “Anonymous Logon” и ставлю птичку напротив“Remote Access” в поле Allowed.
4. Далее чтобы не заходить под другим пользователем, в командной строке пишем:
runas /user:root mmc, где root - имя пользователя, от которого Вы будете загружать mmc консоль и подключаться к серваку.
5. В пустой консоли делаем File - Add\Remove Snap-in, из списка слева выбирам Hyper-V Manager, нажимаем кнопку Add и Ok.
6. В открывшейся консоли делаем Action - Connect to Server, и в открывшемся окне пишем адрес или имя сервера.
7. Работаем...

Вот такой небольшой рецепт.
Буду рад любым отзывам и комментам

Небольшое изменение приоритетов

Всем большой привет. За последнее время у меня произошло много разных изменений, одна из них - катастрофическая нехватка времени... Думаю, что знакомо всем... В последнее время у меня почти нет времени заниматься Линухами, а на работе требуют Винды... Вот, сижу на курсах по безопасности Виндов, и пишу эти строки.
Короче, в связи с очень ограниченным временем и задачами руководства, буду много времени приделять Виндам. Но, также, буду публиковать то, что у меня будет получаться. Вот такие дела.

До скорого...