Установка центра сертификации
Для установки ЦС необходимо добавить роль центра сертификации Active Directory с помощью мастера добавления ролей и компонентов сервера и настроить её конфигурацию. Для этого выполните следующие действия:
- Выберите в меню «Пуск» «Диспетчер серверов» (Рисунок 1);
Рисунок 1 – Меню «Пуск»
2. В отобразившемся окне «Диспетчер серверов» нажмите на вкладку [Управление] и далее выберите <Добавить роли и компоненты> (Рисунок 2);
Рисунок 2 – Окно «Диспетчер серверов»
3. Отобразится окно мастера добавления ролей и компонентов, для продолжения нажмите кнопку «Далее» (Рисунок 3);
Убедитесь, что:
- учётная запись администратора домена имеет надёжный пароль;
- вы находитесь под учётной записью администратора домена;
- вход в домен выполнен.
Рисунок 3 – Окно «Мастер добавления ролей и компонентов» - Перед началом работы
4. В следующем окне выберите «Установка ролей и компонентов» и нажмите кнопку «Далее» (Рисунок 4);
Рисунок 4 – Окно «Мастер добавления ролей и компонентов» - Тип установки
5. Выберите сервер, на который будет установлена роль, и нажмите кнопку «Установить» (Рисунок 5);
Рисунок 5 – Окно «Мастер добавления ролей и компонентов» - Выбор сервера
6. В следующем окне отметьте «Active Directory Certificate Services» и нажмите кнопку «Далее» (Рисунок 6);
Рисунок 6 – Окно «Мастер добавления ролей и компонентов» - Роли сервера
7. Мастер предложит установить зависимые компоненты, нажмите кнопку «Добавить компоненты» (Рисунок 7);
Рисунок 7 – Окно «Мастер добавления ролей и компонентов» - Компоненты
8. Обратите внимание на предупреждение и нажмите кнопку «Далее» (Рисунок 8);
После установки роли ЦС изменить имя и параметры домена будет невозможно!
Рисунок 8 – Окно «Мастер добавления ролей и компонентов» - Службы сертификатов Active Directory
9. В следующем окне отметьте необходимые службы ролей и нажмите кнопку «Далее», минимально необходимая роль — ЦС (Certification Authority) (Рисунок 9);
Рисунок 9 – Окно «Мастер добавления ролей и компонентов» - Службы ролей
10. Дождитесь завершения процесса установки роли (Рисунок 10);
Рисунок 10 – Окно «Мастер добавления ролей и компонентов» - Результаты
11. После завершения установки нажмите «Настроить службу сертификатов Active Directory на сервере» (Рисунок 11);
Рисунок 11 – Окно «Мастер добавления ролей и компонентов» - Результаты
12. В окне «Конфигурация службы сертификатов Active Directory» проверьте учетные данные. Если вы находитесь под учетной записью администратора домена, и в учётных данных все верно отображено то нажмите кнопку «Далее» (Рисунок 12);
Рисунок 12 – Окно «Конфигурация службы сертификатов Active Directory» - Учетные данные
13. Выберите роли для настройки и нажмите кнопку «Далее», минимально необходимая роль — Центр сертификации (Рисунок 13);
Рисунок 13 – Окно «Конфигурация службы сертификатов Active Directory» - Службы ролей
14. В следующем окне выберите вариант установки ЦС — «ЦС предприятия» или «Автономный ЦС» (Рисунок 14);
В настоящем примере ЦС предприятия.
Рисунок 14 – Окно «Конфигурация службы сертификатов Active Directory» - Вариант установки
15. В следующем окне установите тип ЦС – подчинённый или корневой, так как в настоящем примере появилась новая настройка, выберите «Корневой ЦС». После выбора типа ЦС нажмите кнопку «Далее» (Рисунок 15);
Рисунок 15 – Окно «Конфигурация службы сертификатов Active Directory» - Тип ЦС
16. В следующем окне для нового ЦС выберите «Создать новый закрытый ключ» (Рисунок 16);
Рисунок 16 – Окно «Конфигурация службы сертификатов Active Directory» - Закрытый ключ
17. Затем укажите параметры шифрования и нажмите кнопку «Далее» (Рисунок 17);
В настоящем примере в качестве криптопровайдера указан Microsoft Software Key Storage Provider с длиной ключа 2048 бит и алгоритмом хэширования SHA-256.
Рисунок 17 – Окно «Конфигурация службы сертификатов Active Directory» - Шифрование
18. В следующем окне нажмите кнопку «Далее» (Рисунок 18);
Рисунок 18 – Окно «Конфигурация службы сертификатов Active Directory» - Имя ЦС
19. Затем укажите срок действия корневого сертификата (например, 5 лет) и нажмите кнопку «Далее» (Рисунок 19);
Рисунок 19 – Окно «Конфигурация службы сертификатов Active Directory» - Срок действия
20. В следующем окне нажмите кнопку «Далее» (Рисунок 20);
Рисунок 20 – Окно «Конфигурация службы сертификатов Active Directory» - База данных сертификатов
21. Следующее окно отобразит настройки конфигурации ЦС, проверьте и нажмите кнопку «Настроить» (Рисунок 21);
Рисунок 21 – Окно «Конфигурация службы сертификатов Active Directory» - Подтверждение
22. Если всё сделано верно, отобразятся сообщения об успешном выполнении. Нажмите кнопку «Закрыть» (Рисунок 22);
Рисунок 22 – Окно «Конфигурация службы сертификатов Active Directory» - Результаты
23. Установка и конфигурация ЦС Active Directory на этом завершена.
Настройка шаблона выдачи сертификатов
После установки и настройки роли ЦС Active Directory необходимо создать шаблоны выдачи сертификатов на изделие.
Управление шаблонами происходит через консоль ЦС.
Для настройки шаблона выдачи сертификатов выполните следующие действия:
- Нажмите правой кнопкой меню «Пуск», выберите «Выполнить» (Рисунок 23);
Рисунок 23 – Меню «Пуск»
2. В окне «Выполнить» введите команду «mmc» и нажмите кнопку «ОК» (Рисунок 24);
Рисунок 24 – Окно «Выполнить»
3. В отобразившемся окне нажмите на кнопку «Файл» и выберите «Добавить или удалить оснастку» (Рисунок 25);
Рисунок 25 – Консоль
4. В следующем окне выберите «Центр сертификации», нажмите кнопку «Добавить», затем кнопку «ОК» (Рисунок 26);
Рисунок 26 – Окно «Добавление или удаление оснасток»
5. В следующем окне выберите управление локальным компьютером и нажмите кнопку «Готово» (Рисунок 27);
Рисунок 27 – Окно «Центр сертификации»
6. Для удобства дальнейшего использования сохраните данную консоль – нажмите вкладку [Файл], далее «Сохранить» (Рисунок 28);
Рисунок 28 – Консоль
7. Укажите имя (например, «ЦентрСертификации») и место расположения (например, Рабочий стол). Нажмите кнопку «Сохранить» (Рисунок 29);
Рисунок 29 – Окно «Сохранение»
Теперь запустить консоль ЦС можно по созданному ярлыку, который находится на рабочем столе.
8. Щёлкните правой кнопкой по папке «Шаблоны сертификатов» и нажмите «Управление» (Рисунок 30);
Рисунок 30 – Консоль ЦС
9. Отобразится консоль шаблонов, щёлкните правой кнопкой по «Пользователь со смарт-картой» и нажмите «Скопировать шаблон» (Рисунок 31);
Рисунок 31 – Консоль шаблонов сертификатов
10. Откроется окно «Свойства нового шаблона», содержащее 11 вкладок. Во вкладке [Совместимость] можно указать совместимость с сервером центра сертификации и пользовательским рабочим местом, в настоящем примере оставлено без изменений — минимальная конфигурация (Рисунок 32);
Рисунок 32 – Окно «Свойства нового шаблона» - Вкладка [Совместимость]
11. Перейдите во вкладку [Общие]. Здесь можно задать имя шаблона, период действия и срок обновления. Задайте «Отображаемое имя шаблона», в настоящем примере — JaCarta user (Рисунок 33);
Рисунок 33 – Окно «Свойства нового шаблона» - Вкладка [Общее]
12. Во вкладке [Обработка запроса] укажите цель и действие при подаче заявки так, как показано на рисунке Рисунок 34;
Рисунок 34 – Окно «Свойства нового шаблона» - Вкладка [Обработка запроса]
13. Во вкладке [Требования выдачи] укажите «Политика применения» и «Агент запроса сертификата» (Рисунок 35);
Это не единственный возможный способ выпуска сертификата, но в настоящем примере рассматривается выпуск сертификатов администратором домена от имени пользователя через агента регистрации.
Рисунок 35 – Окно «Свойства нового шаблона» - Вкладка [Требования выдачи]
14. Перейдите на вкладку [Шифрование] и в качестве поставщика служб шифрования (криптопровайдера) установите «Microsoft Base Smart Card Crypto Provider» (Рисунок 36);
Рисунок 36 – Окно «Свойства нового шаблона» - Вкладка [Шифрование]
15. Перейдите во вкладку [Имя субъекта], выберите «Строится на основе данных Active Directory». В качестве формата имени субъекта выберите «Полное различающиеся имя». Для применения всех заданных свойств шаблона нажмите кнопку «Применить» и далее нажмите кнопку «ОК» для выхода из свойств шаблона (Рисунок 37);
Рисунок 37 – Окно «Свойства нового шаблона» - Вкладка [Имя субъекта]
16. Новый шаблон отобразится в списке всех шаблонов (Рисунок 38);
Рисунок 38 – Консоль шаблонов сертификатов
17. Далее этот шаблон необходимо разрешить к выдаче. Для этого в консоли ЦС щёлкните правой кнопкой по «Шаблоны сертификатов», выберите
«Создать» -> «Выдаваемый шаблон сертификата» (Рисунок 39);
Рисунок 39 – Консоль ЦС
18. В отобразившемся окне выберите шаблон JaCarta user (ранее созданный) и агент регистрации (существовал по умолчанию, но не был разрешён к выдаче), нажмите кнопку «ОК» (Рисунок 40);
Рисунок 40 – Окно «Включение шаблонов сертификатов»
19. Разрешённые шаблоны должны появиться в разделе «Шаблоны сертификатов» в консоли ЦС (Рисунок 41);
Рисунок 41 – Консоль ЦС
20. Подготовка шаблонов завершена.
Допускается создать и разрешить к выдаче несколько шаблонов, если это требуется, например, с разными криптопровайдерами или разным сроком действия сертификата.
Выдача сертификатов
После настройки шаблонов можно перейти к непосредственному выпуску сертификата и записи его в память изделия. Для этого необходимо по аналогии с ЦС открыть консоль сертификатов.
Выполните следующие действия:
- Нажмите правой кнопкой меню «Пуск», выберите «Выполнить» (Рисунок 42);
Рисунок 42 – Меню «Пуск»
2. В окне «Выполнить» введите команду «mmc» и нажмите кнопку «ОК» (Рисунок 43);
Рисунок 43 – Окно «Выполнить»
3. В отобразившемся окне нажмите на кнопку «Файл» и выберите «Добавить или удалить оснастку» (Рисунок 44);
Рисунок 44 – Консоль
4. В следующем окне выберите «Сертификаты», нажмите кнопку «Добавить», нажмите «ОК» (Рисунок 45);
Рисунок 45 – Окно «Добавление или удаление оснасток»
5. В следующем окне выберите «моей учётной записи пользователя» и нажмите кнопку «Готово» (Рисунок 46);
Рисунок 46 – Окно «Оснастка диспетчера сертификатов»
Для удобства дальнейшего использования консоль сертификатов можно сохранить по аналогии с консолью ЦС.
Выпуск сертификата агента регистрации
- Откройте консоль сертификатов, которую сохранили ранее, щёлкните правой кнопкой по папке «Личное», далее выберите «Все задачи» -> «Запросить новый сертификат» (Рисунок 47);
Рисунок 47 – «Консоль сертификатов
2. В следующем окне прочитайте пояснения/указания и нажмите кнопку «Далее» (Рисунок 48);
Рисунок 48 – Окно «Регистрация сертификатов»
3. Далее выберете «Агент регистрации» и нажмите кнопку «Заявка» (Рисунок 49);
Рисунок 49 – Окно «Регистрация сертификатов»
4. Нажмите кнопку «Далее» (Рисунок 50);
Рисунок 50 – Окно «Регистрация сертификатов»
5. Нажмите кнопку «Готово» (Рисунок 51).
Рисунок 51 – Окно «Регистрация сертификатов»
Сертификат агента регистрации выпускается один раз, на том рабочем месте, где будут в дальнейшем выпускаться сертификаты. Если рабочих станций будет несколько, то на каждой необходимо выпустить сертификат агента регистрации.
Выпуск сертификата для администратора домена
Перед тем, как выпустить сертификат для пользователя, необходимо выпустить сертификат для администратора домена!
- Откройте консоль сертификатов, которую сохранили ранее, щёлкните правой кнопкой по папке «Личное», далее выберите «Все задачи» -> «Дополнительные операции» -> «Зарегистрироваться от имени» (Рисунок 52);
Рисунок 52 – Консоль сертификатов
2. В следующем окне прочитайте пояснения/указания и нажмите кнопку «Далее» (Рисунок 53);
Рисунок 53 – Окно «Регистрация сертификатов»
3. Нажмите кнопку «Далее» (Рисунок 54);
Рисунок 54 – Окно «Регистрация сертификатов»
4. В следующем окне нажмите кнопку «Обзор» (Рисунок 55);
Рисунок 55 – Окно «Регистрация сертификатов»
5. Выберите сертификат агента регистрации, нажмите кнопку «ОК» (Рисунок 56);
Рисунок 56 – Окно «Безопасность Windows»
6. Выберите шаблон, который ранее создали и разрешили к выдаче (JaCarta user) (Рисунок 57);
Рисунок 57 – Окно «Регистрация сертификатов»
7. Укажите имя администратора домена, для которого будет выпущен сертификат и записан на изделие. Для этого нажмите кнопку «Обзор» (Рисунок 58);
Рисунок 58 – Окно «Регистрация сертификатов»
8. В поле «Введите имена выбираемых объектов» укажите имя или часть имени администратора домена, после чего нажмите кнопку «Проверить имена» (Рисунок 59);
Рисунок 59 – Окно «Выбор: "Пользователь"»
9. Если есть совпадения, система подставит полное имя администратора домена, затем нажмите кнопку «ОК» (Рисунок 60);
Рисунок 60 – Окно «Выбор: "Пользователь"»
10. В следующем окне нажмите кнопку «Заявка» (Рисунок 61);
Рисунок 61 – Окно «Регистрация сертификатов»
11. Далее система попросит ввести PIN-код. Введите PIN-код пользователя (по умолчанию 11111111) и нажмите кнопку «Подтвердить» (Рисунок 62);
Рисунок 62 – Окно «Безопасность Windows»
12. Если всё сделано верно, то система отобразит «Состояние: Успешно» (Рисунок 63).
Рисунок 63 – Окно «Регистрация сертификатов»
Выпуск сертификата на пользователя
- Откройте консоль сертификатов, которую сохранили ранее, щёлкните правой кнопкой по папке «Личное», далее выберите «Все задачи» -> «Дополнительные операции» -> «Зарегистрироваться от имени» (Рисунок 64);
Рисунок 64 – Консоль сертификатов
2. В следующем окне прочитайте пояснения/указания и нажмите кнопку «Далее» (Рисунок 65);
Рисунок 65 – Окно «Регистрация сертификатов»
- Нажмите кнопку «Далее» (Рисунок 66);
Рисунок 66 – Окно «Регистрация сертификатов»
2. В следующем окне нажмите кнопку «Обзор» (Рисунок 67);
Рисунок 67 – Окно «Регистрация сертификатов»
3. Выберите сертификат агента регистрации, нажмите кнопку «ОК» (Рисунок 68);
Рисунок 68 – Окно «Безопасность Windows»
4. Выберите шаблон, который ранее создали и разрешили к выдаче (JaCarta user) (Рисунок 69);
Рисунок 69 – Окно «Регистрация сертификатов»
5. Укажите пользователя, для которого сертификат будет выпущен и записан на изделие. Для этого нажмите кнопку «Обзор» (Рисунок 70);
Рисунок 70 – Окно «Регистрация сертификатов»
6. В поле «Введите имена выбираемых объектов» укажите имя или часть имени пользователя, после чего нажмите кнопку «Проверить имена» (Рисунок 71);
Рисунок 71 – Окно «Выбор: "Пользователь"»
7. Если есть совпадения, система подставит полное имя пользователя, затем нажмите кнопку «ОК» (Рисунок 72);
Рисунок 72 – Окно «Выбор: "Пользователь"»
8. В следующем окне нажмите кнопку «Заявка» (Рисунок 73);
Рисунок 73 – Окно «Регистрация сертификатов»
9. Далее система попросит ввести PIN-код. Введите PIN-код пользователя (по умолчанию 11111111) и нажмите кнопку «Подтвердить» (Рисунок 74);
Рисунок 74 – Окно «Безопасность Windows»
10. Если всё сделано верно, то система отобразит «Состояние: Успешно» (Рисунок 75).
Рисунок 75 – Окно «Регистрация сертификатов»
Сразу же можно выпустить сертификат следующему пользователю, на следующее изделие.
Заводить таким образом сотни или тысячи пользователей крайне неудобно. Для решения таких задач Компания " Аладдин Р.Д." разработала специальное программное обеспечение — систему управления USB-токенами и смарт-картами JaCarta Management System (JMS). JMS — сертифицированная корпоративная система управления жизненным циклом средств аутентификации и электронной подписи. Подробная информация и документация доступна на сайте https://www.aladdin.ru/catalog/jms/
Проверка работоспособности
В качестве проверки выполните просмотр содержимого изделия и совершите вход в домен по сертификату на нем.
Просмотр сертификата через Единый Клиент JaCarta
- Запустите Единый Клиент JaCarta, подсоедините изделие с сертификатом к USB-порту, введите PIN-код пользователя и убедитесь, что сертификат и закрытый ключ успешно выпущены и находятся на изделии (Рисунок 76);
Рисунок 76 – Окно «Единый клиент JaCarta»
2. Дважды щёлкнув по сертификату, можно получить его общие свойства (для чего предназначен, срок действия), состав (серийный номер, используемые алгоритмы и т.д.), путь сертификации (строится ли цепочка доверия) и статус (действителен или не действителен) (Рисунок 77).
Рисунок 77 – Окно «Сертификат»
Вход в домен по сертификату на изделии
- Перейдите на пользовательскую рабочую станцию под управлением операционной системы Windows 10, подсоедините изделие к USB-порту и загрузите операционную систему. Далее выберите Параметры входа (Sign-in options) – вход по смарт-карте, и введите PIN-код пользователя (Рисунок 78);
Данная клиентская рабочая станция должна входить в домен согласно описанию демо-стенда.
Рисунок 78 – Приветственное окно Microsoft Windows 10
2. После завершения аутентификации вы попадете в операционную систему, используя только изделие и зная PIN-код пользователя (Рисунок 79);
Рисунок 79 – Приветственное окно Microsoft Windows 10
Парольная аутентификация в настоящем примере не используется, более того её можно вообще отключить, оставив только один вариант — аутентификация по смарт-карте.
3. На этом настройка двухфакторной аутентификации в домен Windows завершена (Рисунок 80).
Рисунок 80 – Рабочий стол Microsoft Windows 10
После аутентификации в домен изделие можно использовать внутри операционной системы в различных сценариях с различным программным обеспечением, которое поддерживает работу с изделием. На сайте "Аладдин Р.Д." есть серия интеграционных инструкций по взаимодействию изделия с различным прикладным ПО.
Основная особенность изделия заключается в том, что можно использовать отпечатки пальцев, как третий фактор аутентификации.
Подробная настройка третьего фактора (регистрация отпечатков пальцев) представлена на официальном сайте Компании https://www.aladdin.ru/catalog/jacarta-securbio/#documentation















































































