- Модель PKI с сохранением корневого ЦС MS CA
- Получение сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority от MS CA
- Активация подчинённого Центра сертификации Aladdin Enterprise Certificate Authority
- Распространение сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority (выделенную цепочку) с помощью групповой политики
- Импорт сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority в корпоративное хранилище NTAuth
- Добавление сертификата котроллера домена MS AD
- Модель PKI с заменой корневого ЦС MS CA
- Развёртывание Центров сертификации Aladdin Enterprise Certificate Authority
- Активация подчинённого Центра сертификации Aladdin Enterprise Certificate Authority
- Распространение сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority (выделенную цепочку) с помощью групповой политики
- Импорт сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority в корпоративное хранилище NTAuth для последующего входа в систему
- Добавление сертификата котроллера домена MS AD
В данном разделе приведены инструкции по настройке ИТ-инфраструктуры для миграции по сценарию выбранной модели.
При сохранении корневого Центра сертификации и однодоменной модели с контроллером домена MS AD необходимо выполнить инструкции в подразделе 4.1 Модель PKI с сохранением корневого ЦС MS CA.
При замене корневого Центра сертификации и однодоменной модели с контроллером домена MS AD необходимо выполнить инструкции в подразделе 4.2 Модель PKI с заменой корневого ЦС MS CA.
Приведённые инструкции необходимо выполнять в том объёме, в котором определяет поставленная задача.
Модель PKI с сохранением корневого ЦС MS CA
Для данной модели характерна плавная миграция инфраструктуры PKI. В данной модели действующим Корневым Центром сертификации остаётся Центр сертификации MS CA до окончания срока действия самоподписанного сертификата. Дополнительно развёртывается Подчинённый Центр сертификации Aladdin Enterprise Certificate Authority, запрос на сертификат которого будет подписан корневым Центром сертификации MS CA. Подчинённый Центр сертификации Aladdin Enterprise Certificate Authority может быть развёрнут в существующем домене или в новом домене, в рамках программы импортозамещения: Samba, РЕД АДМ, ALD PRO, или FreeIPA.
Подчинённый Центр сертификации Aladdin Enterprise Certificate Authority продолжает выпуск сертификатов для субъектов существующего домена (в одноимённой модели) или для субъектов существующего и нового домена (в многодоменной модели). Шаблоны сертификатов, используемые для выпуска сертификатов Центром сертификации MS CA, могут быть экспортированы в Подчинённый Центр сертификации Aladdin Enterprise Certificate Authority.
Таким образом для аутентификации субъектов в информационной системе будут использоваться сертификаты, выпущенные Центром сертификации MS CA, (до истечения срока их действия) и сертификаты, выпускаемые Центром сертификации Aladdin Enterprise Certificate Authority.
Заблаговременно, за несколько лет до истечения срока действия сертификата Корневого Центра сертификации MS CA, следует развернуть новый Корневой Центр сертификации Aladdin Enterprise Certificate Authority. Следует создать новый Подчинённый Центр сертификации Aladdin Enterprise Certificate Authority на базе существующего сервера Aladdin Enterprise Certificate Authority, в рамках загруженной и действующей лицензии на продукт. Запрос на сертификат нового подчинённого Центра сертификации следует подписать на развёрнутом Корневом Центре сертификации Aladdin Enterprise Certificate Authority.
Таким образом все сертификаты, выпущенные ранее развёрнутым Подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, будут валидны и актуальны до момента истечения срока их действия.
Достоинства и недостатки модели с сохранением корневого ЦС MS CA приведены в Таблица 1.
Таблица 1 – Оценка выбора одноимённой модели
Оценка | Описание |
|---|---|
Плюсы | Возможность быстро встроить Центр сертификации Aladdin eCA в текущую инфраструктуру в режиме bypass, не нарушая работоспособности текущей сети и создавая условия для плавной миграции |
Нет необходимости осуществлять замену системы управления каталогом пользователей здесь и сейчас. Замена каталога — это продолжительная процедура, которая может быть разнесена по времени с заменой Центра сертификации. | |
Есть возможность выпускать сертификаты на новом Центре сертификации, тем самым сняв риски использования Microsoft CA. Строгую двухфакторную аутентификацию можно проводить в существующем домене по сертификатам, выпущенным ЦС Aladdin eCA | |
Риски | В зависимости от выбранного каталога и в зависимости от процесса миграции объектов возможно потребуется пересоздание сертификатов для учетных записей пользователей в новом каталоге. Это определяется тем, будет ли для пользователя или компьютера создана новая учетная запись в новом каталоге или будет возможность сохранить её. |
Распространение сертификатов для узлов вне существующего домена, в случае если таких узлов много и если отсутствуют автоматизированные средства распространения корневого сертификата на эти узлы, это может стать проблемой | |
В качестве корневого ЦС по-прежнему используется Microsoft CA. И в будущем потребуется решать задачу по его замене. Хотя в виду того, что обычно сервер или компьютер с корневым ЦС отключен от сети, хранится в изолированном защищенном контуре и извлекается крайне редко, то такая проблема может быть отложена до момента штатной необходимости замены корневого сертификата. |
Данный раздел содержит действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению проблем. Для дополнительной защиты создайте резервную копию. Так вы сможете восстановить реестр, если возникнет проблема.
Получение сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority от MS CA
4.1.1.1 Разверните подчинённый Центр сертификации Aladdin Enterprise Certificate Authority (выполните подготовку сервера, установку программного компонента «Центр сертификации Aladdin Enterprise Certificate Authority», загрузку лицензии подчинённого Центра сертификации, создание подчинённого Центра сертификации в соответствии с Руководством администратора).
4.1.1.2 Скачайте запрос на сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority в формате .csr.
4.1.1.3 Перенесите запрос на сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority на сервер корневого Центра сертификации MS CA.
4.1.1.4 Конвертируйте перенесённый на сервер MS CA запрос в файл:
- Создайте текстовый файл с расширением .inf, вставьте в файл текст:
[BasicConstraintsExtension] Critical=Yes- Запустите терминал командной строки Power Shell и выполните изменение запроса, выполнив команду:
certreq policy C:\subca.csr C:\subca.inf C:\subca_ms.csrгде: C:\subca.csr – путь к файлу запроса на сертификат подчинённого ЦС в формате; C:\subca.inf – путь к созданному файлу дополнения; C:\subca_ms.csr – путь к результирующему файлу запроса, который можно подписать в MS CA.
- В результате этого действия будет сформирован файл запроса, который далее следует подписать в MS CA. Подпишите сконвертированный файл запроса на сертификат подчинённого Центра сертификации средствами MS CA. Для подписания запроса на сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority используйте панель управления MS CA.
4.1.1.5 Для выпуска сертификата сконвертированный на предыдущем шаге файл запроса на сертификат подчинённого Центра сертификации через оснастку MS CA отправим в «ожидающие запросы», используя webконсоль (далее рисунки приведены для версии ОС Windows Server 2019):
- Откройте web-браузер и перейдите по адресу localhost/certsrv (см. Рисунок 4).
- На открывшейся странице перейдите по ссылке «Запросить сертификат».
Рисунок 4 – Приветственное окно службы сертификации MS CS
- Далее нажмите на ссылку «Расширенный запрос сертификата» (см. Рисунок 5).
Рисунок 5 – Окно запроса сертификата службы сертификации MS CS
- В появившееся окно (см. Рисунок 6) в поле «Сохраненный запрос» (Saved Request) скопируйте содержимое сконвертированного файла запроса на сертификат subca_ms.csr и нажмите кнопку <Выдать> (Submit).
Рисунок 6 – Окно вставки содержимого запроса сертификата службы сертификации MS CS
4.1.1.6 Подпишите ожидающий запрос на сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority
- Откройте Server Manager и в меню Tools кликните на Certification Authority (Центр сертификации). Находясь внутри, вы можете раскрыть название своего Центра сертификации и увидеть ряд папок, включая одну внизу с названием «Pending Requests» (Запросы в ожидании) (см. Рисунок 7).
Рисунок 7 – Окно Центра сертификации
- В раздел «Pending Requests» (Запросы в ожидании) нажмите правой клавишей мыши на созданном запросе и выберите «All Tasks -> Issue» (Все задачи -> Выдать) (см. Рисунок 8).
Рисунок 8 – Окно запросов в ожидании Центра сертификации
4.1.1.7 Сохраните подписанный сконвертированный запрос на сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority • Перейдите в раздел «Issued Certificates» (Выданные сертификаты), выберите полученный сертификат, двойным нажатием левой кнопки мышки на выбранном сертификате откройте окно со свойствами сертификата, выберите вкладку «Details» (Состав) нажмите кнопку (Копировать в файл) (см. Рисунок 9).
Рисунок 9 – Окно свойств сертификата
- При копировании (см. Рисунок 10) выберите формат .p7b и поставьте флаг «Включить все сертификаты в путь», нажмите кнопку (Далее) и укажите место сохранения сертификата. Таким образом, сохранив цепочку сертификатов, необходимую для активации созданного Подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
Рисунок 10 – Окно экспорта цепочки сертификатов
- Дождитесь появления сообщения об успешном завершении экспорта сертификата. В результате будет получен p7b-контейнер.
4.1.1.8 Извлеките результирующую цепочку сертификатов для активации подчинённого Центра сертификации Aladdin Enterprise Certificate Authority
- Далее, нужно выделить цепочку сертификатов из p7b-контейнера, используя средство openssl в любой доступной среде. Получение цепочки выполняется командой:
openssl pkcs7 print_certs –inform DER in certificate.p7b out subca_chain.pemгде:
certificate.p7b – контейнер p7b, полученный из MS CA;
subca_chain.pem – результирующая цепочка сертификатов, используемая для активации подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
Активация подчинённого Центра сертификации Aladdin Enterprise Certificate Authority
4.1.2.1 Импортируйте полученную результирующую цепочку в подчинённый Центр сертификации Aladdin Enterprise Certificate Authority в статусе «Запрос». После успешного импорта сертификата Центр сертификации переходит в состояние «Активирован», считается доверенным Центром сертификации и готов для дальнейшей работы.
Распространение сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority (выделенную цепочку) с помощью групповой политики
4.1.3.1 Добавьте подчинённый Центр сертификации Aladdin Enterprise Certificate Authority в список доверенных корней в объекте групповой политики Active Directory. Для настройки групповой политики в домене Windows с целью распространения сертификата подчинённого Центр сертификации Aladdin Enterprise Certificate Authority на доверенное корневое хранилище всех АРМов в домене:
- Нажмите «Пуск», выберите Программы – Администрирование – Менеджер групповых политик (см. Рисунок 11).
Рисунок 11 – Окно менеджера групповых политик
- Найдите домен, политику которого вы хотите изменить.
- Нажмите на выделенном домене правой кнопкой мышки и выберите пункт «Редактировать».
- В открывшемся окне групповой политики выбранного домена (см. Рисунок 12).
- Далее выберите Computer configuration – Policies – Windows Settings – Security Settings – Public Key Policies – Intermediate Certification Authorities.
Рисунок 12 – Окно менеджера групповой политики для выбранного домена
- В правом поле кликните правой кнопкой мышки и выберите пункт «Импорт» и следуя указаниям Мастера импорта произведите загрузку сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
- Сертификат Центра сертификации Aladdin Enterprise Certificate Authority загружен, групповые политики домена изменены.
Импорт сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority в корпоративное хранилище NTAuth
Импорт сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority в корпоративное хранилище NTAuth для последующего входа в систему с использованием сертификатов, выпущенных подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, и успешной проверки учётных данных
4.1.4.1 Публикуя сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority в хранилище Enterprise NTAuth, администратор указывает, что Центр сертификации является доверенным для выдачи сертификатов этих типов. Центр сертификации Windows автоматически публикует свои сертификаты в этом хранилище. Для распространения сертификата подчинённого Центра сертификации Aladdin Enterprise Certificate Authority выполните в PowerShell с правами администратора команды, указав путь до сертификата подчинённого ЦС Aladdin Enterprise Certificate Authority и контейнер, в который необходимо поместить сертификат подчинённого ЦС для дальнейшего распространения:
certutil -f -dspublish subca.cer NTAuthCAcertutil -f -dspublish subca.cer SubCAгде subca.cer – сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
4.1.4.2 Для проверки успеха установки сертификата используйте консоль управления Microsoft (MMC), в оснастке Enterprise PKI (см. Рисунок 13):
- запустите консоль управления Microsoft (MMC);
- загрузите оснастку Enterprise PKI;
- щелкните оснастку правой кнопкой мыши и выберите «Управление контейнерами AD»;
- нажмите на каждый контейнер и убедитесь, что там есть ваши сертификаты.
Рисунок 13 – Окно управления контейнерами AD
Добавление сертификата котроллера домена MS AD
4.1.5.1 Подключение контроллера домена в качестве ресурсной системы
Для загрузки субъектов доменной структуры и дальнейшего выпуска для них сертификатов необходимо в подчинённом Центре сертификации Aladdin Enterprise Certificate Authority выполнить подключение к ресурсной системе – контроллеру домена MS AD согласно Руководству администратора на программный компонент. Подключение к контроллеру домена MS AD должно выполняться от имени администратора, являющегося членом группы «Domain Users» (с правами для синхронизации с контроллером домена) и группы «Cert Publishers» (с правами для публикации сертификатов в ресурсную систему).
4.1.5.2 Выпуск сертификата для контроллера домена MS AD Центром сертификации Aladdin Enterprise Certificate Authority
- Для настройки аутентификации пользователя в системе по сертификату, выпущенному подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, и подтверждения подлинности сертификата в доменной структуре, выполните выпуск сертификата контроллера домена в Центре сертификации Aladdin Enterprise Certificate Authority:
- из раздела «Субъекты» для субъекта подключенной ресурсной системы MS AD «контроллер домена»;
- с использованием шаблона «Domain Controller». При выпуске сертификата для субъекта ресурсной системы поля шаблона будут автоматически заполнены имеющимися данными;
- при выпуске сертификата для контроллера домена необходимо снять чек-бокс «Публиковать в ресурсную систему»;
- в окне последнего шага выпуска сертификата обязательно скачайте контейнер сертификата в контейнере PKCS#12 (далее это невозможно).
4.1.5.3 Установка сертификата контроллера домена, выпущенного Центром сертификации Aladdin Enterprise Certificate Authority
Произведите установку сертификата контроллера домена, выпущенного подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, для распространения его на клиентские машины и успешной аутентификации в домене, в соответствии с процедурой:
- Скопируйте и перенесите сертификат в контейнере PKCS#12 на контроллер домена Active Directory.
- Если ранее на контроллер домена устанавливались цепочки сертификатов ЦС, удалите ранее установленную цепочку сертификатов.
- Установите сертификат контроллера домена, выпущенный Центром сертификации Aladdin Enterprise Certificate Authority, на контроллер домена AD. Для этого:
- установите дополнительную оснастку (если это ещё не сделано ранее). Для этого выполните в командной строке mmc.exe – Файл – Добавить или удалить оснастку – Выбрать из доступных «Сертификаты» – Добавить – Эта оснастка всегда будет управлять сертификатами для «учётной записи компьютера» – Далее – Эта оснастка всегда управляет «локальным компьютером» – Готово
– ОК.
- в оснастке «Сертификаты» откройте папку «Личное – Сертификаты» (см. Рисунок 14);
Рисунок 14 – Окно консоли «Сертификаты»
- далее на поле сертификатов кликнуть правой кнопкой мыши – Все задачи – Импорт – В мастере импорта сертификатов укажите путь к импортируемому сертификату контроллера домена, выпущенному Центром сертификации Aladdin Enterprise Certificate Authority – вводим пароль от контейнера PKCS#12, отметим чек-бокс «Пометить этот ключ как экспортируемый…» и импортируем сертификат, нажимая кнопки «Далее» в Мастере импорта сертификата;
- обновите список сертификатов, для распространения их на клиентские АРМ, выполнив команду в терминале PowerShell:
gpupdate /forceВ результате этих действий будут установлены сертификат контроллера домена, выпущенный Центром сертификации Aladdin Enterprise Certificate Authority, и цепочка сертификатов подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
- Таким образом существующий сертификат контроллера домена, выпущенный MS CA, и сертификат, выпущенный Aladdin Enterprise Certificate Authority, будут работать параллельно, обеспечивая аутентификацию пользователей с сертификатами, выпущенными Центром сертификации MS CA, и сертификатами, выпущенными Центром сертификации Aladdin Enterprise Certificate Authority.
Модель PKI с заменой корневого ЦС MS CA
Модель предполагает развёртывание новых Центров сертификации Aladdin Enterprise Certificate Authority: корневого и подчинённого с параллельной работой Удостоверяющего центра сертификации MS CA и по истечению срока действия постепенной заменой всех сертификатов субъектов, выпущенных Удостоверяющим центром сертификации MS CA, с поддержкой ресурсной системы – контроллера домена Active Directory. Развёртывание Центров сертификации Aladdin Enterprise Certificate Authority может происходить в домене Active Directory или в новом домене под управлением контроллера домена Samba, FreeIPA, ALD PRO или РЕД АДМ. Достоинства и недостатки модели с заменой корневого ЦС MS CA приведены в Таблица 2.
Таблица 2 – Оценка выбора одноимённой модели
Оценка | Описание |
|---|---|
Плюсы | Нет необходимости осуществлять замену системы управления каталогом пользователей здесь и сейчас. Замена каталога — это продолжительная процедура, которая может быть разнесена по времени с заменой Центра сертификации. |
Есть возможность выпускать сертификаты на новом Центре сертификации тем самым сняв риски использования Microsoft CA. | |
Аутентификацию по сертификатам можно проводить в старом домене, но на новых сертификатах. | |
Обеспечивается полное замещение Microsoft CA, включая корневой Центр сертификации | |
Риски | В зависимости от выбранного каталога и в зависимости от процесса миграции объектов возможно потребуется пересоздание сертификатов для учетных записей пользователей в новом каталоге. Это определяется тем, будет ли для пользователя или компьютера создана новая учетная запись в новом каталоге (с новым GUID) или будет возможность сохранить её. В любом случае процесс пересоздания сертификатов может быть плавным, растянутым во времени и не создаст угроз производственному процессу. |
В случае многодоменной модели необходимо обеспечивать доверие между узлами, использующими сертификаты из разных иерархий PKI, что может быть сопряжено с определенными рисками | |
Доверие между узлами, находящимися вне домена, необходимо обеспечивать посредством доставки нового корневого сертификата. Если таких узлов много и отсутствуют механизмы автоматического распространения, то такая задача может быть весьма затруднительна |
Данный раздел содержит действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Для дополнительной защиты создайте резервную копию. Так вы сможете восстановить реестр, если возникнет проблема.
Развёртывание Центров сертификации Aladdin Enterprise Certificate Authority
4.2.1.1 Разверните корневой Центр сертификации Aladdin Enterprise Certificate Authority (выполните подготовку сервера, установку программного компонента «Центр сертификации Aladdin Enterprise Certificate Authority», загрузку лицензии корневого Центра сертификации, создание корневого Центра сертификации в соответствии с Руководством администратора на продукт. В результате будет создан корневой сертификат в виде файла формата .pem. Серверы и клиенты будут использовать этот сертификат для подтверждения единой сети доверия. Копия этого файла должна иметься у всех серверов, использующих Центр сертификации. Все стороны будут использовать публичный сертификат для подтверждения подлинности системы.
4.2.1.2 Разверните подчинённый Центр сертификации Aladdin Enterprise Certificate Authority (выполните подготовку сервера, установку программного компонента «Центр сертификации Aladdin Enterprise Certificate
Authority», загрузку лицензии подчинённого Центра сертификации, создание подчинённого Центра сертификации в соответствии с Руководством администратора на продукт. В результате будет сформирован запрос на сертификат подчинённого Центра сертификации.
4.2.1.3 Скачайте запрос на сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority в формате .csr.
4.2.1.4 Перенесите и подпишите запрос на сертификат подчинённого Центра сертификации на сервер корневого Центра сертификации Aladdin Enterprise Certificate Authority. В результате будет сформирован файл сертификата подчинённого Центра сертификации. Скачайте цепочку сертификатов корневого Центра сертификации Aladdin Enterprise Certificate Authority и перенесите её на сервер подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
Активация подчинённого Центра сертификации Aladdin Enterprise Certificate Authority
4.2.2.1 Импортируйте полученную результирующую цепочку в подчинённый Центр сертификации Aladdin Enterprise Certificate Authority в статусе «Запрос». После успешного импорта сертификата Центр сертификации переходит в состояние «Активирован», считается доверенным Центром сертификации и готов для дальнейшей работы.
Распространение сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority (выделенную цепочку) с помощью групповой политики
4.2.3.1 Добавьте корневой и подчинённый Центры сертификации Aladdin Enterprise Certificate Authority в список доверенных корней в объекте групповой политики Active Directory. Для настройки групповой политики в домене Windows с целью распространения сертификата подчинённого Центр сертификации Aladdin Enterprise Certificate Authority на доверенное корневое хранилище всех АРМов в домене:
- Нажмите «Пуск», выберите Программы – Администрирование – Менеджер групповых политик (см. Рисунок 11).
Рисунок 15 – Окно менеджера групповых политик
- Найдите домен, политику которого вы хотите изменить.
- Нажмите на выделенном домене правой кнопкой мышки и выберите пункт «Редактировать».
- В открывшемся окне групповой политики выбранного домена (см. Рисунок 12).
- Для распространения сертификата корневого Центра сертификации выберите Computer configuration – Policies – Windows Settings – Security Settings – Public Key Policies – Trusted Root Certification Authorities.
- Для распространения сертификата подчинённого Центра сертификации выберите Computer configuration – Policies – Windows Settings – Security Settings – Public Key Policies – Intermediate Certification Authorities.
Рисунок 16 – Окно менеджера групповой политики для выбранного домена
- В правом поле кликните правой кнопкой мышки и выберите пункт «Импорт» и следуя указаниям Мастера импорта произведите загрузку сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority поочерёдно.
- Сертификаты Центров сертификации Aladdin Enterprise Certificate Authority загружены, групповые политики домена изменены.
Импорт сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority в корпоративное хранилище NTAuth для последующего входа в систему
Импорт сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority в корпоративное хранилище NTAuth для последующего входа в систему с использованием сертификатов, выпущенных Центром сертификации Aladdin Enterprise Certificate Authority, и успешной проверки учётных данных.
4.2.4.1 Публикуя сертификаты корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority в хранилище Enterprise NTAuth, администратор указывает, что Центры сертификации являются доверенным для выдачи сертификатов этих типов. Центр сертификации Windows автоматически публикует свои сертификаты в этом хранилище. Для распространения сертификатов корневого и подчинённого Центров сертификации Aladdin Enterprise Certificate Authority выполните в PowerShell с правами администратора команды, указав путь до сертификатов корневого и подчинённого ЦС Aladdin Enterprise Certificate Authority и контейнер, в который необходимо поместить сертификат подчинённого ЦС для дальнейшего распространения:
certutil -f -dspublish rootca.cer NTAuthCAcertutil -f -dspublish rootca.cer RootCAcertutil -f -dspublish subca.cer NTAuthCAcertutil -f -dspublish subca.cer SubCAгде subca.cer – сертификат подчинённого Центра сертификации Aladdin Enterprise Certificate Authority (или путь к файлу сертификата подчинённого ЦС).
4.2.4.2 Для проверки успеха установки сертификата используйте консоль управления Microsoft (MMC), в оснастке Enterprise PKI:
- запустите консоль управления Microsoft (MMC);
- загрузите оснастку Enterprise PKI;
- щелкните оснастку правой кнопкой мыши и выберите «Управление контейнерами AD»;
- нажмите на каждый контейнер и убедитесь, что там есть ваши сертификаты.
Добавление сертификата котроллера домена MS AD
4.2.5.1 Подключение контроллера домена в качестве ресурсной системы
Для загрузки субъектов доменной структуры и дальнейшего выпуска для них сертификатов необходимо на в подчинённом Центре сертификации Aladdin Enterprise Certificate Authority выполнить подключение к ресурсной системе – контроллеру домена MS AD согласно Руководству администратора на программный компонент. Подключение к контроллеру домена MS AD должно выполняться от имени администратора, являющегося членом группы «Domain Users» (с правами для синхронизации с контроллером домена) и группы «Cert Publishers» (с правами для публикации сертификатов в ресурсную систему).
4.2.5.2 Выпуск сертификата контроллера домена Центром сертификации Aladdin Enterprise Certificate Authority
- Для настройки аутентификации пользователя в системе по сертификату, выпущенному подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, и подтверждения подлинности сертификата в доменной структуре, выполните выпуск сертификата контроллера домена в Центре сертификации Aladdin Enterprise Certificate Authority:
- из раздела «Субъекты» для субъекта подключенной ресурсной системы MS CA «контроллер домена»;
- с использованием шаблона «Domain Controller». При выпуске сертификата для субъекта ресурсной системы поля шаблона будут автоматически заполнены имеющимися данными;
- при выпуске сертификата для контроллера домена необходимо снять чек-бокс «Публиковать в ресурсную систему»;
- в окне последнего шага выпуска сертификата обязательно скачайте контейнер сертификата в контейнере PKCS#12 (далее это невозможно).
4.2.5.3 Установка сертификата контроллера домена, выпущенного Центром сертификации Aladdin Enterprise Certificate Authority
Произведите установку сертификата контроллера домена, выпущенного подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, для распространения его на клиентские машины и успешной аутентификации в домене, в соответствии с процедурой:
- Скопируйте и перенесите сертификат в контейнере PKCS#12 на контроллер домена Active Directory.
- Если ранее на контроллер домена устанавливались цепочки сертификатов ЦС, удалите ранее установленную цепочку сертификатов.
- Установите сертификат контроллера домена, выпущенный Центром сертификации Aladdin Enterprise Certificate Authority, на контроллер домена AD. Для этого:
- установите дополнительную оснастку (если это ещё не сделано ранее). Для этого выполните в командной строке mmc.exe – Файл – Добавить или удалить оснастку – Выбрать из доступных «Сертификаты» – Добавить – Эта оснастка всегда будет управлять сертификатами для «учётной записи компьютера» – Далее – Эта оснастка всегда управляет «локальным компьютером» – Готово
– ОК.
- в оснастке «Сертификаты» откройте папку «Личное – Сертификаты» (см. Рисунок 14);
Рисунок 17 – Окно консоли «Сертификаты»
- далее на поле сертификатов кликнуть правой кнопкой мыши – Все задачи – Импорт – В мастере импорта сертификатов укажите путь к импортируемому сертификату контроллера домена, выпущенному Центром сертификации Aladdin Enterprise Certificate Authority – вводим пароль от контейнера PKCS#12, отметим чек-бокс «Пометить этот ключ как экспортируемый…» и импортируем сертификат, нажимая кнопки «Далее» в Мастере импорта сертификата;
- обновите список сертификатов, для распространения их на клиентские АРМ, выполнив команду в терминале PowerShell:
gpupdate /forceВ результате этих действий будут установлены сертификат контроллера домена, выпущенный Центром сертификации Aladdin Enterprise Certificate Authority, и цепочка сертификатов подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
- Таким образом существующий сертификат контроллера домена, выпущенный MS CA, и сертификат, выпущенный Aladdin Enterprise Certificate Authority, будут работать параллельно, обеспечивая аутентификацию пользователей с сертификатами, выпущенными Центром сертификации MS CA, и сертификатами, выпущенными Центром сертификации Aladdin Enterprise Certificate Authority.
4.2.5.4 Подключение контроллера домена в качестве ресурсной системы
Для загрузки субъектов доменной структуры и дальнейшего выпуска для них сертификатов необходимо на в подчинённом Центре сертификации Aladdin Enterprise Certificate Authority выполнить подключение к ресурсной системе – контроллеру домена Samba, ALD PRO, FreeIPA или РЕД АДМ согласно Руководству администратора на программный компонент.
Подключение к контроллеру домена MS CA должно выполняться от имени администратора, являющегося членом группы «Domain Users» (с правами для синхронизации с контроллером домена) и группы «Cert Publishers» (с правами для публикации сертификатов в ресурсную систему).
4.2.5.5 Выпуск сертификата контроллера домена Центром сертификации Aladdin Enterprise Certificate Authority
- Для настройки аутентификации пользователя в системе по сертификату, выпущенному подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, и подтверждения подлинности сертификата в доменной структуре, выполните выпуск сертификата контроллера домена в Центре сертификации Aladdin Enterprise Certificate Authority:
- из раздела «Субъекты» для субъекта подключенной ресурсной системы Samba, ALD PRO, FreeIPA или РЕД АДМ «контроллер домена»;
- с использованием шаблона «Domain Controller». При выпуске сертификата для субъекта ресурсной системы поля шаблона будут автоматически заполнены имеющимися данными;
- в окне последнего шага выпуска сертификата обязательно скачайте контейнер сертификата в контейнере PKCS#12 (далее это невозможно).
4.2.5.6 Установка сертификата контроллера домена, выпущенного Центром сертификации Aladdin Enterprise Certificate Authority
Произведите установку сертификата контроллера домена, выпущенного подчинённым Центром сертификации Aladdin Enterprise Certificate Authority, для распространения его на клиентские машины и успешной аутентификации в домене, в соответствии с процедурой:
- Скопируйте и перенесите сертификат в контейнере PKCS#12 на контроллер домена Active Directory.
- Если ранее на контроллер домена устанавливались цепочки сертификатов ЦС, удалите ранее установленную цепочку сертификатов.
- Установите сертификат контроллера домена, выпущенный Центром сертификации Aladdin Enterprise Certificate Authority, на контроллер домена AD. Для этого:
- установите дополнительную оснастку (если это ещё не сделано ранее). Для этого выполните в командной строке mmc.exe – Файл – Добавить или удалить оснастку – Выбрать из доступных «Сертификаты» – Добавить – Эта оснастка всегда будет управлять сертификатами для «учётной записи компьютера» – Далее – Эта оснастка всегда управляет «локальным компьютером» – Готово
– ОК.
- в оснастке «Сертификаты» откройте папку «Личное – Сертификаты» (см. Рисунок 14);
Рисунок 18 – Окно консоли «Сертификаты»
- далее на поле сертификатов кликнуть правой кнопкой мыши – Все задачи – Импорт – В мастере импорта сертификатов укажите путь к импортируемому сертификату контроллера домена, выпущенному Центром сертификации Aladdin Enterprise Certificate Authority – вводим пароль от контейнера PKCS#12, отметим чек-бокс «Пометить этот ключ как экспортируемый…» и импортируем сертификат, нажимая кнопки «Далее» в Мастере импорта сертификата;
- обновите список сертификатов, для распространения их на клиентские АРМ, выполнив команду в терминале PowerShell:
gpupdate /forceВ результате этих действий будут установлены сертификат контроллера домена, выпущенный Центром сертификации Aladdin Enterprise Certificate Authority, и цепочка сертификатов подчинённого Центра сертификации Aladdin Enterprise Certificate Authority.
- Таким образом существующий сертификат контроллера домена, выпущенный MS CA, и сертификат, выпущенный Aladdin Enterprise Certificate Authority, будут работать параллельно, обеспечивая аутентификацию пользователей с сертификатами, выпущенными Центром сертификации MS CA, и сертификатами, выпущенными Центром сертификации Aladdin Enterprise Certificate Authority.














