Перед тем, как что-то делать, надо сохранить сертификаты корневого СА на нашем будущем Enterprise CA. Заходим на сервер администратором, добавляем группу Enterprise Admins в локальные админы сервера, после чего заходим как Enterprise Admin. Итак, копируем с папки C:\WINDOWS\system32\certsrv\CertEnroll файлы с расширениями *.crl *.crt на наш центр сертификации, к примеру, в d:\certs. Далее, заходим на наш центр сертификации, открываем командную строку от администратора, и пришем:
cd d:\certs
certutil -addstore -f Root RootCACertificateFile.crt
certutil -addstore -f Root RootCACRLFile.crl
где RootCACertificateFile и RootCACRLFileимя файла сертификата и crl.
Теперь необходимо опубликовать сертификаты в AD:
certutil -dspublish -f RootCACertificateFile.crt RootCA
certutil -dspublish -f rootca.crl
(Если при выполнении последней команды Вам выдаст ошибку о том, что CRL невозможно опубликовать из-за того, что Вы не правильно ввели имя домена, то надо будет ввести на корневом центре сертификации такую команду:
certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com
и перевыдать CRL. Проверено, так как сам наступил на эти грабли :))
Вот теперь точно приступаем к установке.
Для начала необходимо сделать файл c:\windows\CAPolicy.inf:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=BubnilaCPS
[BubnilaCPS ]
NOTICE=Horns And Hooves Team CPS
URL=http://crl.bubnila.org/CPS/CPStatement.asp
renewalkeylength=2048
RenewalValidityPeriodUnits=5
RenewalValidityPeriod=years
CRLPeriod=7
CRLPeriodUnits=days
CRLOverlapPeriod=4
CRLOverlapUnits=hours
CRLDeltaPeriod=24
CRLDeltaPeriodUnits=hours
[CRLDistributionPoint]
Empty=True
[AuthorityInformationAccess]
Empty=True
Теперь можно приступать к установке.
1. Проверяем, что сервер введен в домен.
2. Проверяем корректность даты и времени.
3. Жмем Start, Administrative Tools, и кликаем Server Manager.
4. В секции Roles Summary, жмем Add Roles.
5. На странице Before You Begin, выбираем Skip This Page By Default, и жмем Next.
6. На странице Select Server Roles, выбираем Active Directory Certificate Services, жмем Next.
7. На странице Introduction To Active Directory Certificate Services жмем Next.
8. На странице Role Services, выбиваем Certification Authority, далее выбираем Certification Authority Web Enrollment.
9. В окне Add Roles Wizard, которое предлагает поставить Web Server (IIS) role,
нажимаем Add Required Role Services.
10. На странице Select Role Services жмем Next.
11. В Specify Setup Type выбираем Enterprise, и нажимаем Next.
12. В Specify CA Type выбираем Subordinate CA, нажимаем Next.
13. В окне Private Key нажимаем Create A New Private Key, нажимаем Next.
14. В Configure Cryptography For CA, выбиваем следующее, и жмем Next.
❑ Select a cryptographic service provider (CSP): RSA#Microsoft Software Key
Storage Provider
❑ Key character length: 2048
❑ Select the hash algorithm for signing certificates issued by this CA: sha256 (если корневой центр сертификации настроен под Windows 2003/2000, то надо выбрать sha1)
15. На странице Configure CA Name, вводим следующую информацию и жмем Next.
❑ Common name for this CA: Bubnila Enterprise CA (у каждого свое)
❑ Distinguished name suffix: DC=HornsAndHooves,DC=com
16. На странице Request Certificate From A Parent CA, выбираем Save a Certificate Request To File And Manually Send It Later To A Parent CA, подтверждаем имя по умолчанию, и жмем Next.
17. На странице Configure Certificate Database, вводим следующую информацию, и жмем Next:
❑ Certificate database: D:\CertDB
❑ Certificate database log: D:\CertLog
(Согласно M$ Best Practicies, эти папки должны находиться на разных физических дисках, но так как это все на виртуалке, то особой разницы нет...)
18. На странице Web Server (IIS) жмем Next.
19. В Select Role Services принимаем предложенный вариант установки и жмем Next.
20. После проверки правильности введенной информации на странице Confirm Installation Selections смело жмем Install.
21. На странице Installation Results, мы видим, что установка не завершена, так как сартификат данного сервера еще не подписан. Короче, жмем Close.
22. Открываем диск C:\.
23. Копируем FABINCCA03.fabrikam.com_Fabrikam Corporate Issuing CA.req (на самом деле, у Вас он будет называться по другому) на флешку, или по сети на root CA.
Следующие действия будем делать на RootCA:
1. Вставляем флешку в RootCA, или забираем файл по сети.
2. Из Start menu, Administrative Tools, заходим в Certification Authority.
3. В дереве консоли, right-click по Fabrikam Corporate Policy CA, выбираем All Tasks, после чего выбираем Submit New Request.
4. В диалоговом окне Open Request File, в File Name box, выбираем диск D:\, на котором выбираем файо FABINCCA03.fabrikam.com_Fabrikam Corporate Policy CA.req, и жмем Open.
5. В дереве консоли, разкрываем BubnilaRootCA, и кликаем Pending
Requests.
6. В правой панели, right-click по запросу, выбираем All Tasks, и выбираем
Export Binary Data.
7. В диалоговом окне Export Binary Data, в Columns That Contain Binary Data
необходимо выбрать из выпадающего списка Binary Request, и нажать OK.
8. Проверяем правильность запроса на сертификата:
❑ Verify that the subject name is Fabrikam Corporate Issuing CA.
Subject:
CN=Fabrikam Corporate Issuing CA
O=Fabrikam Inc.
C=US
❑ Ensure that public key length is 2048 bits.
Public Key Length: 2048 bits
❑ Ensure that the basic constraints indicate Subject Type=CA.
Basic Constraints
Subject type=CA
❑ Verify that the Signature Algorithm is SHA256RSA.
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
❑ Verify that the signature matches the public key.
Signature matches Public Key
9. Закрываем окно.
10. В правой части окна, right-click по ожидающему SubCA сертификату, выбираем All Tasks, и кликаем Issue.
11. В дереве консоли, кликаем Issued Certificates.
12. В правой части окна, double-click по выданному сертификату.
13. В диалоговом окне Certificate, выбираем вкладку Details.
14. На вкладке Details, жмем Copy To File.
15. В Certificate Export Wizard, жмем Next.
16. На странице Export File Format, кликаем Cryptographic Message Syntax Standard—
PKCS #7 Certificates (.P7B), выбираем чекбокс Include All Certificates In The Certification Path If Possible, и жмем Next.
17. На странице File To Export, в поле File Name пишем D:\issuingca.p7b, и жмем Next.
18. На странице Completing The Certificate Export Wizard жмем Finish.
19. В Certificate Export Wizard жмем OK.
20. В окне Certificate, жмем OK.
21. Закрываем консоль Certification Authority.
22. Копируем файл для переноса на флешку, или прямо на EnterpriseCA по сети.
Теперь, когда мы получили экспортированный сертификат, надо завершить установку нашего Enterprise CA, внедрив сертификат. Для этого надо:
1. Скопировать на сервер файл PKCS#7.
2. Из меню Start, click Administrative Tools, и click Certification Authority.
3. В дереве консоли, right-click Bubnila Issuing CA, выбрать All Tasks, и click Install CA Certificate.
4. В окне Select File To Complete CA Installation, в строке File Name, вводим
С:\issuingca.p7b, и click Open.
5. В дереве консоли, right-click Fabrikam Corporate Issuing CA, выбираем All Tasks, и click Start Service.
После того, как сервис запустился, установку можно считать законченой. Теперь можно переходить к настройке. Но это уже будет в следующей части.
Комментариев нет:
Отправить комментарий