Центр регистрации Aladdin eRA реализует серверные компоненты по протоколам MS‑XCEP [1] и MS‑WSTEP [2]. Реализация данных серверных компонентов обеспечивает выполнение автоматического сценария распространения сертификатов получателям сертификатов (субъектам РС) по протоколу MS‑WSTEP.
Сервер политик выпуска сертификатов (CEP‑сервер) и сервер выпуска сертификатов (CES‑сервер), реализуемые Центром регистрации Aladdin eRA в соответствии с протоколами MS‑XCEP и MS‑WSTEP, доступны по URL https://[HOSTNAME]/wstep‑service/engine, где [HOSTNAME] – IP-адрес или доменное имя Центра регистрации Aladdin eRA.
Центр регистрации Aladdin eRA в рамках реализации функций CEP‑сервера (при получении запроса на политики «GetPolices») и функций CES‑сервера (при получении запроса на выпуск сертификата «RequestSecurityToken») обеспечивает следующие способы аутентификации пользователей домена, к которому он подключен:
- По имени и пароля доменной учетной записи получателя сертификатов.
- По Kerberos‑билету.
Предварительные условия:
Корневой сертификат издающего Центра сертификации eCA, к которому подключена ресурсная система получателя сертификатов, должен быть установлен в хранилище «Доверенные корневые центры сертификации» (сертификат должен быть предоставлен пользователем с ролью «Администратор» Цента сертификации Aladdin eCA).
[1] Описание протокола MS-XCEP доступно по ссылке: https://winprotocoldoc.z19.web.core.windows.net/MS-XCEP/%5bMS-XCEP%5d.pdf
[2] Описание протокола MS-WSTEP доступно по ссылке: https://winprotocoldoc.z19.web.core.windows.net/MS-WSTEP/%5bMS-WSTEP%5d.pdf
Обработка запроса на политики «GetPolices»
Центр регистрации Aladdin eRA при получении запроса «GetPolices» в случае успешной аутентификации получателя сертификат (субъекта РС), от имени которого был выполнен запрос, возвращает в ответе «GetPoliciesResponse» политику выпуска сертификатов.
Общие параметры возвращаемой политики соответствуют таблице ниже (Таблица 3).
Таблица 3 – Общие параметры возвращаемой политики
Параметр политики | Значение | Примечание |
|---|---|---|
policyID | 5817949c‑a7cd‑46ec‑90ef‑7782cd200b15 | Уникальный идентификатор политики |
policyFriendlyName | eCA enrollment policy | Отображаемое имя политики |
nextUpdateHours | 8 | Время в часах, через которое клиент должен запросить обновление политики выпуска сертификатов с CEP‑сервера. Значение «8» указано аналогично значению по умолчанию в Microsoft Certificate Service (MS CS). |
policiesNotChanged | NULL | Параметр, используемый для указания факта изменения политики с момента последнего запроса клиентом. Значение «NULL» указано аналогично значению по умолчанию в MS CS. |
Шаблоны, записываемые в поле «policies» ответа «GetPoliciesResponse», представляют собой шаблоны подключенного Центра сертификации Aladdin eCA, преобразованные в шаблоны по протоколу MS‑XCEP (далее – шаблоны CEP).
При этом в шаблоны CEP преобразовываются только шаблоны Центра сертификации Aladdin eCA одновременно удовлетворяющие следующим условиям:
- Шаблоны определены в правилах выпуска Центра регистрации Aladdin eRA, назначенных для получателя сертификатов (субъекта РС).
- В правилах выпуска Центра регистрации Aladdin eRA, назначенных для получателя сертификатов (субъекта РС), выбран автоматический режим обработки заявок на сертификаты.
- В шаблонах, назначенных получателю сертификатов (субъекту РС) правилами выпуска, доступен алгоритм генерации ключевой пары RSA.
В атрибуты возвращаемых шаблонов CEP записываются значения в соответствии с таблицей ниже
(Таблица 4):
Таблица 4 – Значения атрибутов шаблонов в сообщении «GetPoliciesResponse»
Атрибут шаблона в сообщении «GetPoliciesResponse» | Примечание |
|---|---|
commonName | Имя шаблона Центра сертификации Aladdin eCA |
policySchema | 3 |
validityPeriodSeconds | Период действия сертификата по шаблону Центра сертификации Aladdin eCA в секундах |
renewalPeriodSeconds | 10 % от периода действия сертификата по шаблону в секундах |
enroll | true |
autoEnroll | true[1] |
minimalKeyLength | Минимальная длина ключа для алгоритма RSA по шаблону Центра сертификации Aladdin eCA |
keySpec | 1 |
keyUsageProperty | NULL |
permissions | NULL |
algorithmOIDReference | NULL |
provider | Microsoft Base Cryptographic Provider v1.0 |
majorRevision | 1 |
minorRevision | 0 |
supersededPolicies | NULL |
privateKeyFlags | 0 |
subjectNameFlags | 2181038080[2] |
enrollmentFlags | 0 |
generalFlags | 0 – для типа субъекта шаблона «Пользователь», 64 – для типа субъекта шаблона «Устройство», 128 ‑ для типа субъекта шаблона «Корневой ЦС», 2048 – для типа субъекта шаблона «Подчиненный ЦС» |
hashAlgorithmOIDReference | NULL |
rARequirements | NULL |
keyArchivalAttributes | NULL |
extensions | Строка вида «Имя_шаблона@ID_шаблона»[3] |
Параметры издателя сертификатов в возвращаемой политике (блок «cAs») соответствуют таблице ниже (Таблица 5).
Таблица 5 – Параметры издателя сертификатов в возвращаемой политике
Параметр издателя | Записываемое значение | Примечание |
|---|---|---|
clientAuthentication | 2 | Данное значение указывается, если пользователь аутентифицируется на CEP‑сервере по Kerberos‑билету. |
4 | Данное значение указывается, если пользователь аутентифицируется на CEP‑сервере по имени пользователя и паролю | |
uri | Адрес CES‑сервера | URI CES‑сервера. На данный адрес будут направляться запросы пользователя на выпуск сертификата (запрос «RequestSecurityToken» по протоколу MS‑WSTEP). Адреса СEP‑ и CES‑серверов, реализуемых Центром регистрации Aladdin eRA, совпадают. |
priority | 1 | Приоритет издателя. Прочие значения не применимы для политики, формируемой Центром регистрации Aladdin eRA. |
renewalOnly | False | Значение указывает, что издатель может обрабатывать не только запросы на продление существующих сертификатов, но и запросы на выпуск новых сертификатов. |
certificate | Сертификат активного центра сертификации Центра сертификации Aladdin eCA | Сертификат в Base64. |
enrollPermission | True | Значение указывает, что пользователь может выполнять запросы к данному издателю. |
[1] Указанное значение обозначает, что шаблон может использоваться при автоматическом выпуске сертификатов.
[2] Указанное значение обозначает, что от пользователя при создании запроса на сертификат не должно требоваться указание значений для SDN и SAN.
[3] Данное значение будет записываться в расширения создаваемого на клиенте запроса на сертификат и будет использоваться в рамках реализации функций CES-севера.
Обработка запроса на выпуск сертификата «RequestSecurityToken»
Центр регистрации Aladdin eRA при получении запроса на выпуск сертификата «RequestSecurityToken» в случае успешной аутентификации выполняет следующие действия:
- Создаёт от имени получателя сертификатов (субъекта РС) новую заявку на сертификат на основании запроса из поля «BinarySecurityToken» по шаблону, указанному в данном запросе на сертификат.
Для заявок, создаваемых в ходе обработки запроса «RequestSecurityToken», указан сценарий «WSTEP». При создании заявки и последующем выпуске сертификата в Центре сертификации Aladdin eCA атрибуты запроса на сертификат автоматически переопределяются атрибутами субъекта из Центра сертификации Aladdin eCA, требуемыми по шаблону. Для поля, требуемого по шаблону, используются все имеющиеся у получателя сертификата (субъекта РС) в соответствующем атрибуте значения. В случае ошибки создания заявки Центра регистрации Aladdin eRA возвращает сообщение об ошибке с кодом «RequestFailed».
- В случае успешного выпуска сертификата по созданной заявке Центр регистрации Aladdin eRA генерирует и отправляет пользователю ответное сообщение «RequestSecurityTokenResponse», записывая в поле «RequestedSecurityToken» выпущенный по заявке сертификат, а также цепочку данного сертификата в поле «BinarySecurityToken».
Если после создания заявки сертификат по ней не был успешно выпушен, Центр регистрации Aladdin eCA возвращает сообщение об ошибке с кодом «RequestFailed».
Создания политики регистрации сертификатов
Порядок создания политики регистрации сертификатов в ОС Windows:
- Запустите оснастку «Сертификаты».
- Перейдите в каталог Сертификаты – текущий пользователь > Личное > Сертификаты.
- Вызовите контекстное меню и выберите Всезадачи > Дополнительные операции > Управление политиками регистрации сертификатов (см. Рисунок 51).
Рисунок 51 – Управление политиками регистрации сертификатов
- В открывшемся окне «Управление политикам и регистрации» нажмите кнопку <Добавить…>.
Рисунок 52 – Управление политиками регистрации сертификатов
- В открывшемся окне «Сервер политики регистрации сертификатов» выполните следующие действия:
- В соответствующем поле введите URL сервера политик выпуска сертификатов Центра регистрации Aladdin eRA.
- В списке «Тип проверки подлинности» выберите:
- «Имя пользователя и пароль» для аутентификации по имени и паролю вашей доменной учетной записи.
- «Встроенная проверка подлинности Windows» для аутентификации по Kerberos‑билету.
- Нажмите кнопку <Проверить сервер>.
- В соответствующем поле введите URL сервера политик выпуска сертификатов Центра регистрации Aladdin eRA.
При выбранном способе аутентификации по имени и паролю укажите их в соответствующих поля открывшегося окна и нажмите кнопку <ОК>.
Рисунок 53 – Проверка сервера выполнена успешно
- В случае успешной проверки сервера нажмите кнопку <Добавить>.
- В окне «Управление политикам и регистрации» нажмите кнопку <Применить>, а затем <ОК>.
Запрос нового сертификата
Порядок запроса сертификата:
- Запустите оснастку «Сертификаты».
- Перейдите в каталог Сертификаты – текущий пользователь > Личное > Сертификаты.
- Для запроса нового сертификата вызовите контекстное меню каталога «Сертификаты» и выберите Всезадачи > Запросить новый сертификат.
- В открывшемся окне мастера регистрации сертификатов на 1 шаге нажмите кнопку <Далее>.
Рисунок 54 – Выбор политики регистрации сертификатов
- На 2 шаге мастера регистрации сертификатов выберите политику eCA enrollment policy и нажмите кнопку <Далее>.
Рисунок 55 – Выбор шаблона для выпуска сертификата
- На 3 шаге мастера регистрации сертификатов выберите шаблоны, по которым необходимо выпустить сертификаты, и нажмите кнопку <Заявка>.
- На последнем шаге мастера регистрации сертификатов убедитесь, что сертификат получен и успешно установлен в хранилище и нажмите кнопку <Готово> (см. Рисунок 56).
Рисунок 56 – Сертификат получен и успешно установлен в хранилище
Перевыпуск сертификатов
Центр регистрации Aladdin eRA поддерживает перевыпуск сертификатов с новым ключом и с тем же ключом, на котором был выпущен текущий сертификат.
Порядок перевыпуска сертификата:
- Запустите оснастку «Сертификаты».
- Перейдите в каталог Сертификаты – текущий пользователь > Личное > Сертификаты.
- Для запроса нового сертификата вызовите контекстное меню выбранного сертификата и выберите необходимый сценарий перевыпуска или выпуска нового сертификата:
- Все задачи > Обновить сертификат с новым ключом.
- Все задачи > Запросить сертификат с новым ключом.
- Все задачи > Дополнительные операции > Обновить сертификат с тем же ключом.
- Все задачи > Дополнительные операции > Запросить новый сертификат с тем же ключом.
- В открывшемся окне мастера регистрации сертификатов на 1 шаге нажмите кнопку <Далее>.
Рисунок 57 – Отправка заявки для выпуска сертификата
- На 2 шаге мастера регистрации сертификатов нажмите кнопку <Заявка>.
- На последнем шаге мастера регистрации сертификатов убедитесь, что сертификат получен и успешно установлен в хранилище и нажмите кнопку <Готово> (см. Рисунок 56).






