Общее описание процесса развертывания инфраструктуры открытых ключей на базе Aladdin Enterprise Certification Center и существующего центра сертификации Microsoft Certificate Services.
- Для успешного решения задачи миграции на отечественное ПО, глубоко проанализировав ситуацию, компания Аладдин Р.Д., имеющая большой опыт реализации работ по миграции на отечественное программное обеспечение в сфере управления цифровыми сертификатами и ключевыми носителями, предлагает предприятиям решение для максимально самостоятельного осуществления процесса поэтапного перехода от действующего Центра сертификации Microsoft к Центру сертификации АеСА, соответствующего требованиям ФСБ и ФСТЭК России, с минимальным привлечением специалистов со стороны. Этот принцип можно назвать достаточным при наличии у специалистов заказчика практических реальных навыков администрирования отечественных ОС.
- Продукты компании Аладдин Р.Д. поддерживают взаимодействие с сервисами Microsoft Active Directory и Certificate Services, что обеспечивает плавное выполнение миграции на платформу Центра сертификации AеСА.
- На первоначальном этапе предусматривается совместное использование решений по управлению цифровыми сертификатами Microsoft Certificate Services и Aladdin Enterprise Certificate Authority для чего необходимо произвести добавление подчинённого издающего Центра сертификации Aladdin eCA, функционирующего на сервере под управлением OC семейства Linux (cм. п. 2.5 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-1) в развёрнутую инфраструктуру PKI на платформе Windows. Как правило, на этом этапе не возникает проблем в использовании издаваемых сертификатов на разных операционных системах и иных устройствах: стандарты сертификатов и PKI являются кроссплатформенными. Криптографические алгоритмы шифрования и электронной подписи, используемые при выпуске сертификатов Центром сертификации АеСА, соответствуют международным стандартам RFC, описанные документами из серии пронумерованных информационных документов Интернета, содержащих технические спецификации и стандарты, широко применяемые во всемирной сети.
Подготовка инфраструктуры
Перед установкой подчинённого Центра сертификации АеСА следует провести подготовку инфраструктуры (см. Рисунок 5) в следующем объеме:
- проверить наличие и работоспособность центра сертификации MS CS (установка в формате Standalone),
- скопировать «имя издателя», используемое корневым Microsoft Certificate Services (обычно совпадает с hostname), для дальнейшего выпуска лицензии подчинённому ЦС Aladdin Enterprise Certificate Authority;
- получить лицензию для установки подчинённого ЦС Aladdin Enterprise Certificate Authority, где в качестве корневого центра будет указано “имя издателя” MS CS;
- на выделенную вычислительную машину:
- установить вспомогательное ПО в соответствии с процедурами, приведёнными в разделе 3 RU.АЛДЕ.03.01.020-01 32 01-1 Центр сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора;
- произведите подготовку предустановочных конфигурационных файлов и выполните установку компонента «Центр сертификации Aladdin eCA» в соответствии с разделом 4 «Центра сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора» RU.АЛДЕ.03.01.020-01 32 01-1;
- выполните настройку АРМ администратора Центра сертификации в соответствии с процедурами, описанными в разделе 2 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководство администратора RU.АЛДЕ.03.01.020-01 32 01-2
- выполнить ввод в эксплуатации с использованием полученной лицензии
- выполните начальную инициализацию ЦС в соответствии с разделом 3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2, используя полученную лицензию;
- скачайте файл запроса .csv созданного подчиненного ЦС.
Примечание. Для выполнения преобразований используются средства certreq (программа встроена в ОС Windows) и openssl (программа входит в базовые средства ОС Linux). На схеме (см. Рисунок 5) они условно показаны на целевых вычислительных машинах, но использовать эти средства можно на любом рабочем месте.
Рисунок 5 – Совместное использование ЦС АеСА и MS CS
Получение сертификата подчинённого ЦС АеСА
- Для получения сертификата следует выполнить следующие действия:
- скопировать файл запроса на вычислительную машину, где развёрнут MS CS;
- подписать запрос на сертификат подчинённого ЦС AеCA средствами MS CS;
- скачать полученный сертификат в контейнере p7b;
- выделить цепочку сертификатов корневого ЦС MS CS;
- импортировать выделенную цепочку сертификатов в подчинённый ЦС AеCA.
Конвертация запроса на сертификат подчинённого ЦС АеСА
- Перенесите полученный файла запроса на сертификат подчинённого ЦС АеСА на машину, где развёрнут корневой Центр сертификации MS CS для подписания запроса, например, в файл c:\subca.csr;
- создайте текстовый файл c:\subca.inf следующего содержания:
[BasicConstraintsExtension]Critical=Yes - запустить терминал командной строки Power Shell и выполнить изменение запроса, выполнив команду:
certreq policy C:\subca.csr C:\subca.inf C:\subca_ms.csr где:
C:\subca.csr – ранее созданный файл запроса;
C:\subca.inf – ранее созданный файл дополнения;
C:\subca_ms.csr – результирующий файл запроса, который можно подписать в MS CS.
Подписание запроса на сертификат на корневом ЦС MS CS
Для подписания запроса на сертификат подчинённого ЦС АеСА используйте панель управления MSCS. Выпуск сертификата по запросу производится следующим образом (далее рисунки приведены для версии ОС «server 2019»):
- Откройте web-браузер и перейдите по адресу localhost/certsrv (см. Рисунок 6).
- На открывшейся странице перейдите по ссылке «Запрос сертификата».
Рисунок 6 – Приветственное окно службы сертификации MS CS
- Далее нажмите на ссылку «Расширенный запрос сертификата» (см. Рисунок 7).
Рисунок 7 – Окно запроса сертификата службы сертификации MS CS
- В появившееся окно (см. Рисунок 8) в поле «Сохраненный запрос» (Saved Request) скопируйте содержимое преобразованного файла subca_ms.csr, полученного на шаге 5.2.1 и нажмите кнопку <Выдать> (Submit);
Рисунок 8 – Окно вставки содержимого запроса сертификата службы сертификации MS CS
- Откройте Server Manager и в меню Tools кликните на Certification Authority (Центр сертификации). Находясь внутри, вы можете раскрыть название своего Центра сертификации и увидеть ряд папок, включая одну внизу с названием «Pending Requests» (Запросы в ожидании) (см. Рисунок 9).
Рисунок 9 – Окно Центра сертификации
- в раздел «Pending Requests» (Запросы в ожидании) нажмите правой клавишей мыши на созданном запросе и выберите «All Tasks -> Issue» (Все задачи -> Выдать) (см. Рисунок 10).
Рисунок 10 – Окно запросов в ожидании Центра сертификации
- Перейдите в раздел «Issued Certificates» (Выданные сертификаты), выберите полученный сертификат, двойным нажатием левой кнопки мышки на выбранном сертификате откройте окно со свойствами сертификата, выберите вкладку «Details» (Состав) нажмите кнопку (Копировать в файл) (см. Рисунок 11).
Рисунок 11 – Окно свойств сертификата
- При копировании выбрать формат .p7b и поставить флаг «Включить все сертификаты в путь», нажмите кнопку (Далее) и укажите место сохранения сертификата.
Рисунок 12 – Окно экспорта цепочки сертификатов
- Дождитесь появления сообщения об успешном завершении экспорта сертификата. В результате будет получен p7b-контейнер.
- Далее, нужно выделить цепочку сертификатов из p7b-контейнера, используя средство openssl в любой доступной среде. Получение цепочки выполняется командой:
openssl pkcs7 print_certs –inform DER in certificate.p7b out subca_chain.pem где:
certificate.p7b – контейнер p7b, полученный из MS CS;
subca_chain.pem – результирующая цепочка сертификатов, используемая для активации
подчинённого ЦС АеСА.
Активация подчинённого ЦС АеСА
- Для активации подчинённого Центра сертификации в состоянии «Запрос» импортируйте выделенную цепочку сертификатов корневого ЦС MS CS в соответствии с пунктом 4.3.1.3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2.
- Подчиненный ЦС из состояния «Запрос» переходит в состоянии «Активирован», считается доверенным центром сертификации и готов для дальнейшей работы.







