Всем привет. Итак, я продолжаю описывать настройку корневого центра сертификации.У Вас есть установленный корневой центр сертификации, как описано в предыдущей статье.
Проверка Сертификата Root CA
В командной строке вводим:Проверка Сертификата Root CA
certutil –ca.cert corporateRootCA.cerВ ответ получаем хеш. Чтобы проверить сертификат в читабельном виде, вводим
certutil.exe corporateRootCA.cerЗдесь надо проверить, что срок жизни сертификата 10 лет (у Вас будет свое содержимое):
Signature Algorithm:Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSAIssuer: CN=CorporateRootCANotBefore: 6/5/2002 7:47 PMNotAfter: 6/5/2012 7:54 PMSubject: CN=CorporateRootCA
Проверка конфигурационной информации CorporateRootCA
В командной строке вводим:
certutil –cainfoИ проверяем тип СА. Результат должен быть схожим с выводом:
CA type: 3 -- Stand-alone Root CAENUM_STANDALONE_ROOTCA -- 3Проверяем пути
certutil –getreg
ConfigurationDirectory REG_SZ = \\concorp-ca-00\CertConfigDBDirectory REG_SZ = C:\WINDOWS\system32\CertLogDBLogDirectory REG_SZ = C:\WINDOWS\system32\CertLogDBSystemDirectory REG_SZ = C:\WINDOWS\system32\CertLogDBTempDirectory REG_SZ = C:\WINDOWS\system32\CertLogТак, с проверкой закончили, теперь можно приступить к настройке.
Настройка Offline Root CA
Так как данный компьютер не входит в домен и не может автоматически публиковать CRL листы, то для него надо прописать прописать ключ в реестре:
certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=comгде DC=concorp,DC=contoso,DC=com имя вашего корневого домена леса AD. В моем случае это было DC=HornsAndHooves,DC=com. Эти настройки необходимы для CRLs и CA сертификатов (AIA), которые опубликованы в Active Directory.
Настройка точек распространения для CRL и AIA
certutil -getreg ca\CRLPublicationURLs
CRLPublicationURLs REG_MULTI_SZ = 0: 65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl CSURL_SERVERPUBLISH -- 1 CSURL_SERVERPUBLISHDELTA -- 40 (64) 1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 CSURL_SERVERPUBLISH -- 1 CSURL_ADDTOCERTCDP -- 2 CSURL_ADDTOFRESHESTCRL -- 4 CSURL_ADDTOCRLCDP -- 8 CSURL_SERVERPUBLISHDELTA -- 40 (64) 2: 6:http://%1/CertEnroll/%3%8%9.crl CSURL_ADDTOCERTCDP -- 2 CSURL_ADDTOFRESHESTCRL -- 4 3: 0:file://\\%1\CertEnroll\%3%8%9.crlТеперь нам необходимо сконфигурировать правильные пути размещения CRL и AIA. Итак,
1. Нажимаем Start, All Programs, Administrative Tools, и выбираем Certification Authority.
2. Выбираем наш центр сертификации, кликаем по нему правой мышью, и выбираем Properties.
3. Заходим на вкладку Extensions.
Настройка точек распространения для CRL
Для начала, необходимо удалить все точки распространения CRL , кроме локальной.
1. На вкладке Extensions в Select extension выбираем CRL Distribution Point (CDP).
2. В Specify location from which users can obtain a certificate revocation list (CRL) выбираем LDAP, и кликаем по Remove.
3. Удаляем все, кроме локальной CRL.
Так, поудаляли все ненужное, теперь пришла пора создать новые точки распространения. Заполняем все, согласно таблице ниже, единственное что, в протоколе HTTP заменяем на имя своего внешнего домена. Также желательно www заменять на crl, чтобы не делать алиас www на контроллере домена. Итак, таблица:3. Удаляем все, кроме локальной CRL.
List of CRL Distribution Points for CorporateRootCA
| Access protocol | CRL distribution point |
|---|---|
| [local] | C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl |
| HTTP | http://www.contoso.com/pki/%3%8%9.crl |
| LDAP | Ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 |
Путь [local] должен указывать текущий каталог Windows
Чтобы добавить точки распространения, необходимо нажать кнопку Add, и скопировать пути из таблицы.
После того, как пути введены, надо расставить птички из таблицы ниже:
Table 15 CRL Distribution Point Properties
| CRL distribution point property | File | HTTP | LDAP |
|---|---|---|---|
| Publish CRLs to this location check box | Select | N/A | Clear |
| Include in all CRLs check box | N/A | N/A | Select |
| Include in CRLs check box | N/A | Clear | Select |
| Include in the CDP extension of issued certificates check box | N/A | Select | Select |
| Publish delta CRLs to this location check box | Clear | N/A | Clear |
Настройка точек распространения для AIA
1. Заходим туда, куда и в предыдущем пункте, только выбираем Authority Information Access (AIA).
2. В Specify locations from which users can obtain the certificate for this CA выбрать LDAP и нажать кнопку Remove.
3. Удалить все, кроме локального пути.
4. Далее, создаем новые пути, согласно таблице, но заменяя на свои реальные имена.
List of AIA CRL Distribution Points for Contoso
| Access protocol | AIA Distribution Point |
|---|---|
| [local] | D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt |
| HTTP | http://www.contoso.com/pki/%1_%3%4.crt |
| LDAP | ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11 |
5. Далее, ставим птички в созданных точках распространения, согласно таблице:
AIA Properties
| AIA property | FILE | HTTP | LDAP |
|---|---|---|---|
| Include in the AIA extension of issued certificates check box | N/A | Select | Select |
| Include in the online certificate status protocol (OCSP) extension check box | N/A | Clear | Clear |
Проверка правильности настройки CorporateRootCA CRL и AIA
Поскольку конфигурация точек распространения CRL и AIA очень важна, проверьте свою конфигурацию, сделав одно из следующих действий:
| If your CA is running | Do this |
|---|---|
| A member of the Windows 2000 Server family | At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg policy\RevocationCRLURL certutil –getreg policy\LDAPRevocationCRLURL certutil –getreg policy\FileRevocationCRLURL |
| A member of the Windows 2003 Server family | At a command prompt, type the following command, and press ENTER: certutil –getreg ca\CRLPublicationURLs |
Далее сверяем вывод с тем, что мы ввели в предыдущем разделе.
Если все правильно, то продолжаем:
| If your CA is running | Do this |
|---|---|
| A member of the Windows 2000 Server family | At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg policy\IssuerCertURL certutil –getreg policy\LDAPIssuerCertURL certutil –getreg policy\FileIssuerCertURL |
| A member of the Windows 2003 Server family | At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg ca\CACertPublicationURLs |
Проверяем, что вывод схож с тем, как на примере:
CACertPublicationURLs REG_MULTI_SZ = 0: 1:D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt CSURL_SERVERPUBLISH -- 1 1: 2:ldap:///CN=%7,CN=AIA,CN=Public KeyServices,CN=Services,%6%11 CSURL_ADDTOCERTCDP -- 2 2: 2:http://www.contoso.com/pki/%1_%3%4.crt CSURL_ADDTOCERTCDP -- 2Настройка интервала рубликации CRL
После настройки точки распространения CRL, мы должны сконфигурировать интервал публикации CRL. Чтобы это сделать, надо:
1. Нажать Start, Programs, Administrative Tools, и выбрать Certification Authority.
2. В дереве консоли слева, делаем правый клик по Revoked Certificates, и выбираем Properties.
3. В секции CRL publication interval, необходимо интервал, и выбрать единицу измерения времени. В моем случае это 6 месяцев.
4. Проверить, что напротив пункта Publish Delta CRLs не стоит птичка.
Переиздание CorporateRootCA CRL
В консоли Certification Authority делаем правый клик по Revoked Certificates и в меню All Tasks нажимаем Publish. В открывшемся окне выбираем New CRL. Новый CRL опубликован.
Также можно опубликовать CRL с командной строки, надо ввести
certutil -CRL
Вот
Центр сертификации ИСО 9001 http://www.rospromtest.ru/content.php?id=5
ОтветитьУдалить