Создание сертификата в автономном центре сертификации для Essentials 2010
Ниже представлены процедуры для получения сертификата от автономного центра сертификации (ЦС) с помощью служб сертификации — компонента ОС Windows Server 2003 и Windows Server 2008. Данные процедуры необходимо выполнить в следующем порядке.
- Запросить сертификат от автономного ЦС.
- Утвердить ожидающий запрос сертификата. Если
в службах сертификации настроено автоматическое утверждение
сертификатов, перейдите к процедуре получения сертификата. В
противном случае сертификат должен выпустить администратор центра
сертификации. Администратор ЦС должен выпустить сертификат с
помощью процедуры, описанной в данном разделе.
- Получить сертификат.
- Импортировать сертификат в
Essentials 2010. Дополнительные сведения см. в разделе
Импорт
сертификатов.
- Импортировать сертификат ЦС. Дополнительные
сведения см. в разделе Импорт
сертификатов.
Порядок запроса сертификата от автономного ЦС
-
Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере шлюза или сервере управления).
-
Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).
-
На начальной странице служб сертификации Microsoft щелкните ссылку Запросить сертификат.
-
На странице Запрос сертификата щелкните ссылку Либо отправить расширенный запрос сертификата.
-
На странице Расширенный запрос сертификата щелкните ссылку Создать и выдать запрос к этому ЦС.
-
На странице Расширенный запрос сертификата сделайте следующее.
- В разделе Идентифицирующие сведения в поле Имя
введите уникальное имя, например полное доменное имя компьютера,
для которого запрашивается сертификат. Заполните остальные поля
соответствующими данными.
Примечание Событие с кодом 20052 (ошибка) создается, если указанное в поле Имя полное доменное имя не соответствует имени компьютера. - В разделе Нужный тип сертификата щелкните список и
выберите вариант Другие. В поле OID введите
1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.
- В разделе Параметры ключа установите флажок Создать
новый набор ключей. В поле Поставщик служб шифрования
выберите Microsoft Enhanced Cryptographic Provider v1.0. В
поле Использование ключа выберите Оба. В поле
Размер ключа выберите 1024. Установите флажки
Автоматическое имя контейнера ключа и Пометить ключ как
экспортируемый. Снимите флажки Экспортировать ключи в
файл и Включить усиленную защиту закрытого ключа, а
затем установите флажок Использовать локальное хранилище
компьютера для сертификата.
- В разделе Формат запроса окна Дополнительные
параметры выберите CMC. В списке Алгоритм
хеширования выберите SHA-1. Удалите флажок Сохранять
запрос в файле, а затем в поле Понятное имя введите
полное доменное имя компьютера, для которого запрашивается
сертификат.
- Нажмите кнопку Отправить.
- Если открывается диалоговое окно Потенциальное нарушение
безопасности, нажмите кнопку Да.
- После открытия страницы Ожидаемый сертификат закройте
веб-обозреватель.
- В разделе Идентифицирующие сведения в поле Имя
введите уникальное имя, например полное доменное имя компьютера,
для которого запрашивается сертификат. Заполните остальные поля
соответствующими данными.
Порядок утверждения ожидающего запроса сертификата
-
Зарегистрируйтесь в компьютере со службами сертификации как администратор ЦС.
-
На рабочем столе Windows нажмите кнопку Пуск, выберите пункты Программы, Администрирование и Центр сертификации.
-
В окне Центр сертификации раскройте узел с именем требуемого центра сертификации, а затем выберите пункт Ожидающие запросы.
-
На панели результатов щелкните правой кнопкой мыши ожидающий запрос из предыдущей процедуры, выберите пункт Все задачи, а затем пункт Выпустить.
-
Щелкните Выданные сертификаты и убедитесь, что только что выданный сертификат указан в списке.
-
Закройте окно Центр сертификации.
Порядок получения сертификата
-
Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере управления Essentials или на компьютере из рабочей группы).
-
Запустите Internet Explorer, а затем подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).
-
На начальной странице служб сертификации Microsoft щелкните ссылку Просмотр состояния ожидаемого запроса сертификата.
-
На странице Просмотр состояния ожидаемого запроса сертификата выберите запрашиваемый сертификат.
-
На странице Сертификат выдан щелкните ссылку Установить этот сертификат.
-
В диалоговом окне Потенциальная ошибка сценария нажмите кнопку Да.
-
На странице Сертификат установлен появится сообщение Новый сертификат успешно установлен.. Закройте окно веб-браузера.
Создание сертификата в центре сертификации предприятия для Essentials 2010
Ниже представлены процедуры для получения сертификата от центра сертификации (ЦС) предприятия с помощью служб сертификации — компонента ОС Windows Server 2003 и Windows Server 2008. Данные процедуры необходимо выполнить в следующем порядке.
- Создать шаблон сертификата.
- Запросить сертификат от ЦС предприятия.
- Импортировать сертификат в
Essentials 2010. Дополнительные сведения см. в разделе
Импорт
сертификатов.
- Импортировать сертификат центра сертификации.
Дополнительные сведения см. в разделе Импорт
сертификатов.
Создание шаблона сертификата
-
На рабочем столе Windows компьютера, на котором размещен ЦС предприятия, нажмите кнопку Пуск, выберите пункты Программы, Администрирование и Центр сертификации.
-
В области навигации разверните имя ЦС, щелкните правой кнопкой мыши пункт Шаблоны сертификатов, а затем выберите команду Управление.
-
В области результатов консоли Шаблоны сертификатов щелкните правой кнопкой мыши пункт IPSec (автономный запрос), а затем выберите команду Скопировать шаблон.
-
В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом поле Отображаемое имя шаблона введите новое имя для шаблона (например, EssentialsCert).
-
На вкладке Обработка запроса установите флажок Разрешить экспортировать закрытый ключ, а затем нажмите кнопку Поставщики.
-
В диалоговом окне Выбор CSP выберите наиболее подходящего поставщика служб шифрования, а затем нажмите кнопку ОК.
Примечание ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. ОС Windows Server 2008, Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider. -
Перейдите на вкладку Расширения. В разделе Расширения, включенные в этот шаблон выберите пункт Политики применения, а затем нажмите кнопку Удалить.
-
В диалоговом окне Изменение расширения политик применения выберите пункт IKE-посредник IP-безопасности, а затем нажмите кнопку Удалить.
-
Выберите команду Добавить, а затем выберите нужные элементы в списке Политики применения, удерживая нажатой клавишу CTRL. Выберите пункты Проверка подлинности клиента и Проверка подлинности сервера, а затем нажмите кнопку ОК.
-
В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.
-
Перейдите на вкладку Безопасность, проверьте наличие у группы пользователя разрешений на чтение и подачу заявки, а затем к нажмите кнопку ОК.
Порядок запроса сертификата от ЦС предприятия
-
Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере управления Essentials или компьютере из рабочей группы).
-
Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).
-
На начальной странице служб сертификации Microsoft щелкните ссылку Запросить сертификат.
-
На странице Запрос сертификата щелкните ссылку Либо отправить расширенный запрос сертификата.
-
На странице Расширенный запрос сертификата щелкните ссылку Создать и выдать запрос к этому ЦС.
-
На странице Расширенный запрос сертификата сделайте следующее.
- В разделе Шаблон сертификата выберите имя созданного
шаблона (например, EssentialsCert).
- В разделе Идентифицирующие сведения для автономного
шаблона в поле Имя введите уникальное имя, например
полное доменное имя компьютера, для которого запрашивается
сертификат. Заполните остальные поля соответствующими данными.
Примечание Событие с кодом 20052 (ошибка) создается, если указанное в поле Имя полное доменное имя не соответствует имени компьютера. - В разделе Параметры ключа установите флажок Создать
новый набор ключей и выберите в поле Поставщик служб
шифрования наиболее подходящего поставщика служб шифрования. В
поле Использование ключа выберите Оба, а в поле
Размер ключа выберите наиболее подходящий размер ключа.
Выберите пункт Автоматическое имя контейнера ключа,
установите флажок Пометить ключ как экспортируемый, снимите
флажки Экспортировать ключи в файл и Включить усиленную
защиту закрытого ключа, а затем установите флажок
Использовать локальное хранилище компьютера для
сертификата.
Примечание ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. ОС Windows Server 2008, Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider. - В разделе Формат запроса окна Дополнительные
параметры выберите CMC. В списке Алгоритм
хэширования выберите SHA-1 и снимите флажок Сохранить
запрос в файле. В поле Понятное имя введите полное
доменное имя компьютера, для которого запрашивается сертификат.
- Нажмите кнопку Отправить.
- Если открывается диалоговое окно Потенциальная ошибка
сценария, нажмите кнопку Да.
- На странице Сертификат выдан щелкните ссылку
Установить этот сертификат.
- Если открывается диалоговое окно Потенциальная ошибка
сценария, нажмите кнопку Да.
- На странице Установленные сертификаты появится сообщение
Ваш новый сертификат успешно установлен. Закройте
веб-обозреватель.
- В разделе Шаблон сертификата выберите имя созданного
шаблона (например, EssentialsCert).