Установка и настройка Удостоверяющего Центра на базе Windows Server
1)Изменим имя сервера (Computer name) — Панель управления\Система и безопасность \ Система
и установим крипто провайдера CSPSetup-4.0.9842.exe
Перезагружаем компьютер
После установки Microsoft CA изменить имя сервера нельзя.
2)Добавляем Роль сервис через оснастку Диспетчер серверов (Server Manager)
2.1)Выбираем сервер
2.2)Роли сервера:Отмечаем Веб-сервер (IIS) , Службы сертификатов Active Ditectory (active directory certificate services)
2.3)Службы ролей: Отмечаем Служба регистрации в центре сертификации через Интернет (Online Certificate Authority Registration Service)
2.4)Подтверждение нажимаем кнопку Установить
3)Диспетчер серверов \ Настройка службы сертификатов Active directory
3.1)Службы ролей отметим: Центр сертификации , Служба регистрации в центре сертификации Интернет
3.2)Вариант установки — Автономный ЦС
3.3)Укажите тип ЦС — Корневой ЦС
3.4)Укажите тип закрытого ключа — Создать новый закрытый ключ
3.5)Шифрование для ЦС crypto-pro gost r 34.10-2012 cryptographic service provider 512
Отметить Разрешить взаимодействие с администратором , если ЦС обращается к закрытому ключу
3.6)Закрытый ключ ,заполняем Имя ЦС
3.7)Срок действия — укажите период действия корневого сертификата , водить мышкой при запросе
3.8)Выберете устройство\место хранение сертификата и задайте пароль
3.9)КриптоПро csp Установить новый пароль , запомнить пароль
4.0)Настройка установка Службы сертификации Active Diretory завершена
4.1)Диспетчер служб IIS — Сертификат сервера
4.2)Создать самозаверенн ый сертификат.. указать имя — web
4.3)Сайты Default Web Site , Привязки.. добавить тип httpS , SSL-сертификат web
5)Настройка Центр сертификации crtsrv
CRL Distribution Points (CDP) Списки отзывов сертификатов
Authority Information Access (AIA) Сведения о центрах сертификации
Отметить Включить в CRL . Клиенты используют для поиска в размещениях Delta CRL , Включать в CDP-расширения выданных сертификатов
5.1)Настройка политики выдачи сертификатов — по умолчанию требуется подтверждение администратора
6)Выпуск \ получение сертификата через веб интерфейс httpS://msk01-ca/certsrv/
Запрос сертификата\Расширенный запрос сертификата\Создать и выдать запрос к этому ЦС
https://www.youtube.com/channel/UCnu9HxldaUZZg_DzCKcK23w/ https://www.youtube.com/watch?v=_SOIUW22e-o
Сравнение версий КриптоПро CSP
https://www.cryptopro.ru/products/csp/compare
рекомендуется ставить последнюю версию , с обновлениями
https://forsenergy.com/ru-ru/certsvr/html/18656667-17b6-4e81-af4c-4ff1b767c8b8.htm
Задание точек распространения CRL в выданных сертификатах
Откройте оснастку «Центр сертификации».
В дереве консоли щелкните имя центра сертификации.
В меню Действие выберите команду Свойства, а затем выберите вкладку Расширения . Убедитесь, что значение Выберите расширение равно Точка распространения списков отзыва (CDP).
Выполните одно из следующих действий. (Список точек распространения CRL находится в списке Укажите, откуда пользователи могут получить списки отзыва сертификатов (CRL).)
Чтобы указать, что нужно использовать URL-адрес в качестве точки распространения CRL, выполните следующие действия.
Щелкните точку распространения CRL, установите флажок Включать в CDP-расширение выданных сертификатов , а затем нажмите кнопку ОК.
Чтобы указать, что URL-адрес нужно использовать в качестве точки распространения разностных CRL, выполните следующие действия.
Щелкните точку распространения CRL, установите флажок Публикация разностных CRL по адресу , а затем нажмите кнопку ОК.