GOST ГОСТ. Как развернуть собственный Удостоверяющий Центр УЦ CA win

Автор: | Апрель 15, 2020

Установка и настройка Удостоверяющего Центра на базе Windows Server

1)Изменим имя сервера (Computer name) — Панель управления\Система и безопасность \ Система


и установим крипто провайдера CSPSetup-4.0.9842.exe


Перезагружаем компьютер
После установки Microsoft CA изменить имя сервера нельзя.
2)Добавляем Роль сервис через оснастку Диспетчер серверов (Server Manager)

2.1)Выбираем сервер

2.2)Роли сервера:Отмечаем Веб-сервер (IIS) , Службы сертификатов Active Ditectory (active directory certificate services)

2.3)Службы ролей: Отмечаем Служба регистрации в центре сертификации через Интернет (Online Certificate Authority Registration Service)

2.4)Подтверждение нажимаем кнопку Установить

3)Диспетчер серверов \ Настройка службы сертификатов Active directory

3.1)Службы ролей отметим: Центр сертификации , Служба регистрации в центре сертификации Интернет

3.2)Вариант установки — Автономный ЦС

3.3)Укажите тип ЦС — Корневой ЦС

3.4)Укажите тип закрытого ключа — Создать новый закрытый ключ

3.5)Шифрование для ЦС crypto-pro gost r 34.10-2012 cryptographic service provider 512
Отметить Разрешить взаимодействие с администратором , если ЦС обращается к закрытому ключу

3.6)Закрытый ключ ,заполняем Имя ЦС

3.7)Срок действия — укажите период действия корневого сертификата , водить мышкой при запросе

3.8)Выберете устройство\место хранение сертификата и задайте пароль

3.9)КриптоПро csp Установить новый пароль , запомнить пароль

4.0)Настройка установка Службы сертификации Active Diretory завершена

4.1)Диспетчер служб IIS — Сертификат сервера

4.2)Создать самозаверенн ый сертификат.. указать имя — web

4.3)Сайты Default Web Site , Привязки.. добавить тип httpS , SSL-сертификат web

5)Настройка Центр сертификации crtsrv
CRL Distribution Points (CDP) Списки отзывов сертификатов
Authority Information Access (AIA) Сведения о центрах сертификации

Отметить Включить в CRL . Клиенты используют для поиска в размещениях Delta CRL , Включать в CDP-расширения выданных сертификатов

5.1)Настройка политики выдачи сертификатов — по умолчанию требуется подтверждение администратора

6)Выпуск \ получение сертификата через веб интерфейс httpS://msk01-ca/certsrv/

Запрос сертификата\Расширенный запрос сертификата\Создать и выдать запрос к этому ЦС

Примечание:
Для возможности дальнейшего выбора криптопровайдера “КриптоПро CSP” в окне создания запроса на сертификат, выполните следующее:
в файле System32\certsrv\certsgcl.inc измените значение константы Const  nMaxProvType с 25 на 99. В стандартном скрипте перечислено только 25 типов криптопровайдера.

https://www.youtube.com/channel/UCnu9HxldaUZZg_DzCKcK23w/ https://www.youtube.com/watch?v=_SOIUW22e-o

Сравнение версий КриптоПро CSP
https://www.cryptopro.ru/products/csp/compare
рекомендуется ставить последнюю версию , с обновлениями

КриптоПро 4 ошибки в журнале событий Windows


https://forsenergy.com/ru-ru/certsvr/html/18656667-17b6-4e81-af4c-4ff1b767c8b8.htm
Задание точек распространения CRL в выданных сертификатах
Откройте оснастку «Центр сертификации».
В дереве консоли щелкните имя центра сертификации.
В меню Действие выберите команду Свойства, а затем выберите вкладку Расширения . Убедитесь, что значение Выберите расширение равно Точка распространения списков отзыва (CDP).
Выполните одно из следующих действий. (Список точек распространения CRL находится в списке Укажите, откуда пользователи могут получить списки отзыва сертификатов (CRL).)
Чтобы указать, что нужно использовать URL-адрес в качестве точки распространения CRL, выполните следующие действия.
Щелкните точку распространения CRL, установите флажок Включать в CDP-расширение выданных сертификатов , а затем нажмите кнопку ОК.
Чтобы указать, что URL-адрес нужно использовать в качестве точки распространения разностных CRL, выполните следующие действия.
Щелкните точку распространения CRL, установите флажок Публикация разностных CRL по адресу , а затем нажмите кнопку ОК.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

code