Создание сертификата в автономном центре сертификации для Essentials 2010

Ниже представлены процедуры для получения сертификата от автономного центра сертификации (ЦС) с помощью служб сертификации — компонента ОС Windows Server 2003 и Windows Server 2008. Данные процедуры необходимо выполнить в следующем порядке.

  • Запросить сертификат от автономного ЦС.

  • Утвердить ожидающий запрос сертификата. Если в службах сертификации настроено автоматическое утверждение сертификатов, перейдите к процедуре получения сертификата. В противном случае сертификат должен выпустить администратор центра сертификации. Администратор ЦС должен выпустить сертификат с помощью процедуры, описанной в данном разделе.

  • Получить сертификат.

  • Импортировать сертификат в Essentials 2010. Дополнительные сведения см. в разделе Импорт сертификатов.

  • Импортировать сертификат ЦС. Дополнительные сведения см. в разделе Импорт сертификатов.

Порядок запроса сертификата от автономного ЦС

  1. Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере шлюза или сервере управления).

  2. Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).

  3. На начальной странице служб сертификации Microsoft щелкните ссылку Запросить сертификат.

  4. На странице Запрос сертификата щелкните ссылку Либо отправить расширенный запрос сертификата.

  5. На странице Расширенный запрос сертификата щелкните ссылку Создать и выдать запрос к этому ЦС.

  6. На странице Расширенный запрос сертификата сделайте следующее.

    1. В разделе Идентифицирующие сведения в поле Имя введите уникальное имя, например полное доменное имя компьютера, для которого запрашивается сертификат. Заполните остальные поля соответствующими данными.



      Примечание
      Событие с кодом 20052 (ошибка) создается, если указанное в поле Имя полное доменное имя не соответствует имени компьютера.
    2. В разделе Нужный тип сертификата щелкните список и выберите вариант Другие. В поле OID введите 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.

    3. В разделе Параметры ключа установите флажок Создать новый набор ключей. В поле Поставщик служб шифрования выберите Microsoft Enhanced Cryptographic Provider v1.0. В поле Использование ключа выберите Оба. В поле Размер ключа выберите 1024. Установите флажки Автоматическое имя контейнера ключа и Пометить ключ как экспортируемый. Снимите флажки Экспортировать ключи в файл и Включить усиленную защиту закрытого ключа, а затем установите флажок Использовать локальное хранилище компьютера для сертификата.

    4. В разделе Формат запроса окна Дополнительные параметры выберите CMC. В списке Алгоритм хеширования выберите SHA-1. Удалите флажок Сохранять запрос в файле, а затем в поле Понятное имя введите полное доменное имя компьютера, для которого запрашивается сертификат.

    5. Нажмите кнопку Отправить.

    6. Если открывается диалоговое окно Потенциальное нарушение безопасности, нажмите кнопку Да.

    7. После открытия страницы Ожидаемый сертификат закройте веб-обозреватель.

Порядок утверждения ожидающего запроса сертификата

  1. Зарегистрируйтесь в компьютере со службами сертификации как администратор ЦС.

  2. На рабочем столе Windows нажмите кнопку Пуск, выберите пункты Программы, Администрирование и Центр сертификации.

  3. В окне Центр сертификации раскройте узел с именем требуемого центра сертификации, а затем выберите пункт Ожидающие запросы.

  4. На панели результатов щелкните правой кнопкой мыши ожидающий запрос из предыдущей процедуры, выберите пункт Все задачи, а затем пункт Выпустить.

  5. Щелкните Выданные сертификаты и убедитесь, что только что выданный сертификат указан в списке.

  6. Закройте окно Центр сертификации.

Порядок получения сертификата

  1. Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере управления Essentials или на компьютере из рабочей группы).

  2. Запустите Internet Explorer, а затем подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).

  3. На начальной странице служб сертификации Microsoft щелкните ссылку Просмотр состояния ожидаемого запроса сертификата.

  4. На странице Просмотр состояния ожидаемого запроса сертификата выберите запрашиваемый сертификат.

  5. На странице Сертификат выдан щелкните ссылку Установить этот сертификат.

  6. В диалоговом окне Потенциальная ошибка сценария нажмите кнопку Да.

  7. На странице Сертификат установлен появится сообщение Новый сертификат успешно установлен.. Закройте окно веб-браузера.

Создание сертификата в центре сертификации предприятия для Essentials 2010

Ниже представлены процедуры для получения сертификата от центра сертификации (ЦС) предприятия с помощью служб сертификации — компонента ОС Windows Server 2003 и Windows Server 2008. Данные процедуры необходимо выполнить в следующем порядке.

  • Создать шаблон сертификата.

  • Запросить сертификат от ЦС предприятия.

  • Импортировать сертификат в Essentials 2010. Дополнительные сведения см. в разделе Импорт сертификатов.

  • Импортировать сертификат центра сертификации. Дополнительные сведения см. в разделе Импорт сертификатов.

Создание шаблона сертификата

  1. На рабочем столе Windows компьютера, на котором размещен ЦС предприятия, нажмите кнопку Пуск, выберите пункты Программы, Администрирование и Центр сертификации.

  2. В области навигации разверните имя ЦС, щелкните правой кнопкой мыши пункт Шаблоны сертификатов, а затем выберите команду Управление.

  3. В области результатов консоли Шаблоны сертификатов щелкните правой кнопкой мыши пункт IPSec (автономный запрос), а затем выберите команду Скопировать шаблон.

  4. В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом поле Отображаемое имя шаблона введите новое имя для шаблона (например, EssentialsCert).

  5. На вкладке Обработка запроса установите флажок Разрешить экспортировать закрытый ключ, а затем нажмите кнопку Поставщики.

  6. В диалоговом окне Выбор CSP выберите наиболее подходящего поставщика служб шифрования, а затем нажмите кнопку ОК.

    Примечание
    ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. ОС Windows Server 2008, Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider.
  7. Перейдите на вкладку Расширения. В разделе Расширения, включенные в этот шаблон выберите пункт Политики применения, а затем нажмите кнопку Удалить.

  8. В диалоговом окне Изменение расширения политик применения выберите пункт IKE-посредник IP-безопасности, а затем нажмите кнопку Удалить.

  9. Выберите команду Добавить, а затем выберите нужные элементы в списке Политики применения, удерживая нажатой клавишу CTRL. Выберите пункты Проверка подлинности клиента и Проверка подлинности сервера, а затем нажмите кнопку ОК.

  10. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

  11. Перейдите на вкладку Безопасность, проверьте наличие у группы пользователя разрешений на чтение и подачу заявки, а затем к нажмите кнопку ОК.

Порядок запроса сертификата от ЦС предприятия

  1. Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере управления Essentials или компьютере из рабочей группы).

  2. Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).

  3. На начальной странице служб сертификации Microsoft щелкните ссылку Запросить сертификат.

  4. На странице Запрос сертификата щелкните ссылку Либо отправить расширенный запрос сертификата.

  5. На странице Расширенный запрос сертификата щелкните ссылку Создать и выдать запрос к этому ЦС.

  6. На странице Расширенный запрос сертификата сделайте следующее.

    1. В разделе Шаблон сертификата выберите имя созданного шаблона (например, EssentialsCert).

    2. В разделе Идентифицирующие сведения для автономного шаблона в поле Имя введите уникальное имя, например полное доменное имя компьютера, для которого запрашивается сертификат. Заполните остальные поля соответствующими данными.



      Примечание
      Событие с кодом 20052 (ошибка) создается, если указанное в поле Имя полное доменное имя не соответствует имени компьютера.
    3. В разделе Параметры ключа установите флажок Создать новый набор ключей и выберите в поле Поставщик служб шифрования наиболее подходящего поставщика служб шифрования. В поле Использование ключа выберите Оба, а в поле Размер ключа выберите наиболее подходящий размер ключа. Выберите пункт Автоматическое имя контейнера ключа, установите флажок Пометить ключ как экспортируемый, снимите флажки Экспортировать ключи в файл и Включить усиленную защиту закрытого ключа, а затем установите флажок Использовать локальное хранилище компьютера для сертификата.



      Примечание
      ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. ОС Windows Server 2008, Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider.
    4. В разделе Формат запроса окна Дополнительные параметры выберите CMC. В списке Алгоритм хэширования выберите SHA-1 и снимите флажок Сохранить запрос в файле. В поле Понятное имя введите полное доменное имя компьютера, для которого запрашивается сертификат.

    5. Нажмите кнопку Отправить.

    6. Если открывается диалоговое окно Потенциальная ошибка сценария, нажмите кнопку Да.

    7. На странице Сертификат выдан щелкните ссылку Установить этот сертификат.

    8. Если открывается диалоговое окно Потенциальная ошибка сценария, нажмите кнопку Да.

    9. На странице Установленные сертификаты появится сообщение Ваш новый сертификат успешно установлен. Закройте веб-обозреватель.

См. также