Центр регистрации Aladdin eRA реализует серверные компоненты по протоколам MS‑XCEP [1] и MS‑WSTEP [2]. Реализация данных серверных компонентов обеспечивает выполнение автоматического сценария распространения сертификатов получателям сертификатов (субъектам РС) по протоколу MS‑WSTEP.

Сервер политик выпуска сертификатов (CEP‑сервер) и сервер выпуска сертификатов (CES‑сервер), реализуемые Центром регистрации Aladdin eRA в соответствии с протоколами MS‑XCEP и MS‑WSTEP, доступны по URL https://[HOSTNAME]/wstep‑service/engine, где [HOSTNAME] – IP-адрес или доменное имя Центра регистрации Aladdin eRA.

Центр регистрации Aladdin eRA в рамках реализации функций CEP‑сервера (при получении запроса на политики «GetPolices») и функций CES‑сервера (при получении запроса на выпуск сертификата «RequestSecurityToken») обеспечивает следующие способы аутентификации пользователей домена, к которому он подключен:

  • По имени и пароля доменной учетной записи получателя сертификатов.
  • По Kerberos‑билету.

Предварительные условия:

Корневой сертификат издающего Центра сертификации eCA, к которому подключена ресурсная система получателя сертификатов, должен быть установлен в хранилище «Доверенные корневые центры сертификации» (сертификат должен быть предоставлен пользователем с ролью «Администратор» Цента сертификации Aladdin eCA).

[1] Описание протокола MS-XCEP доступно по ссылке: https://winprotocoldoc.z19.web.core.windows.net/MS-XCEP/%5bMS-XCEP%5d.pdf

[2] Описание протокола MS-WSTEP доступно по ссылке: https://winprotocoldoc.z19.web.core.windows.net/MS-WSTEP/%5bMS-WSTEP%5d.pdf

Обработка запроса на политики «GetPolices»

Центр регистрации Aladdin eRA при получении запроса «GetPolices» в случае успешной аутентификации получателя сертификат (субъекта РС), от имени которого был выполнен запрос, возвращает в ответе «GetPoliciesResponse» политику выпуска сертификатов.

Общие параметры возвращаемой политики соответствуют таблице ниже (Таблица 3).

Таблица 3 – Общие параметры возвращаемой политики

Параметр политики

Значение

Примечание

policyID

5817949c‑a7cd‑46ec‑90ef‑7782cd200b15

Уникальный идентификатор политики

policyFriendlyName

eCA enrollment policy

Отображаемое имя политики

nextUpdateHours

8

Время в часах, через которое клиент должен запросить обновление политики выпуска сертификатов с CEP‑сервера.

Значение «8» указано аналогично значению по умолчанию в Microsoft  Certificate Service (MS CS).

policiesNotChanged

NULL

Параметр, используемый для указания факта изменения политики с момента последнего запроса клиентом.

Значение «NULL» указано аналогично значению по умолчанию в MS CS.

Шаблоны, записываемые в поле «policies» ответа «GetPoliciesResponse», представляют собой шаблоны подключенного Центра сертификации Aladdin eCA, преобразованные в шаблоны по протоколу MS‑XCEP (далее – шаблоны CEP).

При этом в шаблоны CEP преобразовываются только шаблоны Центра сертификации Aladdin eCA одновременно удовлетворяющие следующим условиям:

  • Шаблоны определены в правилах выпуска Центра регистрации Aladdin eRA, назначенных для получателя сертификатов (субъекта РС).
  • В правилах выпуска Центра регистрации Aladdin eRA, назначенных для получателя сертификатов (субъекта РС), выбран автоматический режим обработки заявок на сертификаты.
  • В шаблонах, назначенных получателю сертификатов (субъекту РС) правилами выпуска, доступен алгоритм генерации ключевой пары RSA.

В атрибуты возвращаемых шаблонов CEP записываются значения в соответствии с таблицей ниже
 (Таблица 4):

Таблица 4 – Значения атрибутов шаблонов в сообщении «GetPoliciesResponse»

Атрибут шаблона в сообщении «GetPoliciesResponse»

Примечание

commonName

Имя шаблона Центра сертификации Aladdin eCA

policySchema

3

validityPeriodSeconds

Период действия сертификата по шаблону Центра сертификации Aladdin eCA в секундах

renewalPeriodSeconds

10 % от периода действия сертификата по шаблону в секундах

enroll

true

autoEnroll

true[1]

minimalKeyLength

Минимальная длина ключа для алгоритма RSA по шаблону Центра сертификации Aladdin eCA

keySpec

1

keyUsageProperty

NULL

permissions

NULL

algorithmOIDReference

NULL

provider

Microsoft Base Cryptographic Provider v1.0

majorRevision

1

minorRevision

0

supersededPolicies

NULL

privateKeyFlags

0

subjectNameFlags

2181038080[2]

enrollmentFlags

0

generalFlags

0 – для типа субъекта шаблона «Пользователь», 64 – для типа субъекта шаблона «Устройство», 128 ‑ для типа субъекта шаблона «Корневой ЦС», 2048 – для типа субъекта шаблона «Подчиненный ЦС»

hashAlgorithmOIDReference

NULL

rARequirements

NULL

keyArchivalAttributes

NULL

extensions

Строка вида «Имя_шаблона@ID_шаблона»[3]

Параметры издателя сертификатов в возвращаемой политике (блок «cAs») соответствуют таблице ниже (Таблица 5).

Таблица 5 – Параметры издателя сертификатов в возвращаемой политике

Параметр издателя

Записываемое значение

Примечание

clientAuthentication

2

Данное значение указывается, если пользователь аутентифицируется на CEP‑сервере по Kerberos‑билету.

4

Данное значение указывается, если пользователь аутентифицируется на CEP‑сервере по имени пользователя и паролю

uri

Адрес CES‑сервера

URI CES‑сервера. На данный адрес будут направляться запросы пользователя на выпуск сертификата (запрос «RequestSecurityToken» по протоколу MS‑WSTEP). Адреса СEP‑ и CES‑серверов, реализуемых Центром регистрации Aladdin eRA, совпадают.

priority

1

Приоритет издателя. Прочие значения не применимы для политики, формируемой Центром регистрации Aladdin eRA.

renewalOnly

False

Значение указывает, что издатель может обрабатывать не только запросы на продление существующих сертификатов, но и запросы на выпуск новых сертификатов.

certificate

Сертификат активного центра сертификации Центра сертификации Aladdin eCA

Сертификат в Base64.

enrollPermission

True

Значение указывает, что пользователь может выполнять запросы к данному издателю.

[1] Указанное значение обозначает, что шаблон может использоваться при автоматическом выпуске сертификатов.

[2] Указанное значение обозначает, что от пользователя при создании запроса на сертификат не должно требоваться указание значений для SDN и SAN.

[3] Данное значение будет записываться в расширения создаваемого на клиенте запроса на сертификат и будет использоваться в рамках реализации функций CES-севера.

Обработка запроса на выпуск сертификата «RequestSecurityToken»

Центр регистрации Aladdin eRA при получении запроса на выпуск сертификата «RequestSecurityToken» в случае успешной аутентификации выполняет следующие действия:

  • Создаёт от имени получателя сертификатов (субъекта РС) новую заявку на сертификат на основании запроса из поля «BinarySecurityToken» по шаблону, указанному в данном запросе на сертификат.

Для заявок, создаваемых в ходе обработки запроса «RequestSecurityToken», указан сценарий «WSTEP». При создании заявки и последующем выпуске сертификата в Центре сертификации Aladdin eCA атрибуты запроса на сертификат автоматически переопределяются атрибутами субъекта из Центра сертификации Aladdin eCA, требуемыми по шаблону. Для поля, требуемого по шаблону, используются все имеющиеся у получателя сертификата (субъекта РС) в соответствующем атрибуте значения. В случае ошибки создания заявки Центра регистрации Aladdin eRA возвращает сообщение об ошибке с кодом «RequestFailed».

  • В случае успешного выпуска сертификата по созданной заявке Центр регистрации Aladdin eRA генерирует и отправляет пользователю ответное сообщение «RequestSecurityTokenResponse», записывая в поле «RequestedSecurityToken» выпущенный по заявке сертификат, а также цепочку данного сертификата в поле «BinarySecurityToken».

Если после создания заявки сертификат по ней не был успешно выпушен, Центр регистрации Aladdin eCA возвращает сообщение об ошибке с кодом «RequestFailed».

Создания политики регистрации сертификатов

Порядок создания политики регистрации сертификатов в ОС Windows:

  • Запустите оснастку «Сертификаты».
  • Перейдите в каталог Сертификаты – текущий пользователь > Личное > Сертификаты.
  • Вызовите контекстное меню и выберите Всезадачи > Дополнительные операции > Управление политиками регистрации сертификатов (см. Рисунок 51).

Рисунок 51 – Управление политиками регистрации сертификатов

  • В открывшемся окне «Управление политикам и регистрации» нажмите кнопку <Добавить…>.

Рисунок 52 – Управление политиками регистрации сертификатов

  • В открывшемся окне «Сервер политики регистрации сертификатов» выполните следующие действия:
    • В соответствующем поле введите URL сервера политик выпуска сертификатов Центра регистрации Aladdin eRA.
      • В списке «Тип проверки подлинности» выберите:
      • «Имя пользователя и пароль» для аутентификации по имени и паролю вашей доменной учетной записи.
    • «Встроенная проверка подлинности Windows» для аутентификации по Kerberos‑билету.
    • Нажмите кнопку <Проверить сервер>.

При выбранном способе аутентификации по имени и паролю укажите их в соответствующих поля открывшегося окна и нажмите кнопку <ОК>.

Рисунок 53 – Проверка сервера выполнена успешно

    • В случае успешной проверки сервера нажмите кнопку <Добавить>.
  • В окне «Управление политикам и регистрации» нажмите кнопку <Применить>, а затем <ОК>.

Запрос нового сертификата

Порядок запроса сертификата:

  • Запустите оснастку «Сертификаты».
  • Перейдите в каталог Сертификаты – текущий пользователь > Личное > Сертификаты.
  • Для запроса нового сертификата вызовите контекстное меню каталога «Сертификаты» и выберите Всезадачи > Запросить новый сертификат.
  • В открывшемся окне мастера регистрации сертификатов на 1 шаге нажмите кнопку <Далее>.

Рисунок 54 – Выбор политики регистрации сертификатов

  • На 2 шаге мастера регистрации сертификатов выберите политику eCA enrollment policy и нажмите кнопку <Далее>.

Рисунок 55 – Выбор шаблона для выпуска сертификата

  • На 3 шаге мастера регистрации сертификатов выберите шаблоны, по которым необходимо выпустить сертификаты, и нажмите кнопку <Заявка>.
  • На последнем шаге мастера регистрации сертификатов убедитесь, что сертификат получен и успешно установлен в хранилище и нажмите кнопку <Готово> (см. Рисунок 56).

Рисунок 56 – Сертификат получен и успешно установлен в хранилище

Перевыпуск сертификатов

Центр регистрации Aladdin eRA поддерживает перевыпуск сертификатов с новым ключом и с тем же ключом, на котором был выпущен текущий сертификат.

Порядок перевыпуска сертификата:

  • Запустите оснастку «Сертификаты».
  • Перейдите в каталог Сертификаты – текущий пользователь > Личное > Сертификаты.
  • Для запроса нового сертификата вызовите контекстное меню выбранного сертификата и выберите необходимый сценарий перевыпуска или выпуска нового сертификата:
    • Все задачи > Обновить сертификат с новым ключом.
    • Все задачи > Запросить сертификат с новым ключом.
    • Все задачи > Дополнительные операции > Обновить сертификат с тем же ключом.
    • Все задачи > Дополнительные операции > Запросить новый сертификат с тем же ключом.
  • В открывшемся окне мастера регистрации сертификатов на 1 шаге нажмите кнопку <Далее>.

Рисунок 57 – Отправка заявки для выпуска сертификата

  • На 2 шаге мастера регистрации сертификатов нажмите кнопку <Заявка>.
  • На последнем шаге мастера регистрации сертификатов убедитесь, что сертификат получен и успешно установлен в хранилище и нажмите кнопку <Готово> (см. Рисунок 56).