развёртывание сертификационного центра
 

Подскажите с развёртыванием сертификационного центра (генерация сертификатов для защиты HTTP трафика). Какую серверную ОС лучше использовать – 2000 или 2003 ? Самое главное – можно ли комп. выделенный под Серт.Центр держать изолированно, т.е. не в домене?

я использовал 2003.
не в домене - пожалуйста.
я так понял нужно на IIS https настроить?

Моя задача только развернуть серт. центр (физически изолированного от домена) и нагенерить сертификаты клиентам для защиты почтового траффика. Я так понимаю что первоначально надо выдать сертификат Exchange серверу. Вроде бы он генерится на основании какого-то запроса от IIS ? Ещё есть такое понятие как список отозванных сертификатов - он дожен где распологаться (имею ввиду обязательно на Exchange сервере или на любом ресурсе доступном ему)?
Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена?

Кто сказал? бред полный, я же написал не в домене - пожалуйста. Любой комп с 2003 виндой.
в инете полно описаний как установить ЦС (центр сертификато) и IIS. к сожалению, я не имею опыта для создания и внедрения сертифиатов в Exchange.
Вобщем устанвливайте IIS и ЦС, генерите сертификаты, выпускайте их, сохраняйте в файл и импортируйте в Почтовый сервер.

А можно перенести развёрнутый ЦС с одной машины на другую, т.е. с базой выданных сертификатов, списком отзванных и т.д. ?

я не знаю... не пробЫвал... наверное можно.

Знать бы наверняка. Просто временно дают комп. и если перенос не возможен тогда будут проблемы....
А база выданных сертификатов должна быть доступна почтовому серверу? Или это сугубо информационное хранилище и в аутентификации оно не участвует?

вообще-то CRLs (те самые списки) поддерживает и публикует ЦС, например на Web... поэтому если ЦС изолирован - тягать эти списки придется ручками, а без них Exchange работать не будет: White Paper: Domain Security in Exchange 2007
как раз наоборот - не должен, из соображений безопасности
Backup/Restore никто не отменял, главное чтобы сохранить имя хоста: How to move a certification authority to another server

amel27, спасибо. Небольшое уточнение - я спрашивал про развёртывание ЦС от микрософта (сертификат не от сторонней "конторы"). Ответы остаются в силе?
Ещё подскажите. ЦС у меня всё-таки будет изолированным, т.е. машина физически отрублена от сети. Для генерации сертификата для почтового сервера и клиентских машин мне на этих машинах надо предварительно сформировать какой-то запрос в ЦС и реализовать его на выход в виде файла для передачи в ЦС ? Или всё не так? Для реализации 2-х стороннего шифрования при работе с почтой клиентам надо сразу скидывать и "их" сертификат и сертификат сгенерённый для почтового сервера?

принципиальной разницы нет
это уже специфика Exchange, причем зависит от версии, почитайте к примеру статьи:
Сертификаты и Exchange
Как обезопасить почтовый трафик SMTP

Это из-за повышенной секьюрити? Будет очень неудобно, тогда лучше нормальный УЦ создавать на российских криптоалгоритмах :) Файл списка отозванных сертификатов(СОС) *.crl будет регулярно переноситься с ЦС вручную? :)
Проще через веб интерфейс ЦС, но если ЦС физически отрублен от сети... можно и на дискетах таскать запросы и выданные сертификаты.
Для реализации шифрования между клиентами, надо установить на клиентах сертификат ЦС, личный сертификат и обменяться открытыми ключами (можно так, клиент1 отосылает тестовое сообщение с цифр. подписью, клиент2 получает и заносит откр. ключ клиента1 в адр. книгу и отправляет в ответ сообщение с цифр. подписью, клиент1 получает сообщение клиента2 и заносит откр. ключ клиента2 в адр. книгу, после этого может откравить зашифр. сообщение клиенту1) Но удобнее, если ЦС будет в домене (и физически - в сети) тогда и winlogon с исп-ем сертификатов организовать (на смарткартах напр.)

http://localhost/certsrv/Default.asp на сервере с ЦС

А можно генерить сертификаты без запросов ?

всё это замечательно, на localhost будут формироваться запросы и выпускаться сертификаты, как потом сертификаты (с закр. ключем) клиентам отдавать, если не на отчуждаемых носителях(дискетах напр), а "ЦС физически отрублен от сети."?
как вы это себе представляете? :)

А что такого? Чисто теоритически это звучит вполне правдоподобно. Насколько я понимаю "запрос" от клиента содержит некую индивидуальную и уникальную для клиента информацию, так почему бы не предположить что вполне допустима обратная картина. Я не жду её от клиента а в случае обладания ею сразу вставляю её в сертификат.
Извиняюсь, схема применения сертификатов несколько поменялась (точнее я не сразу въехал что от меня хотят :( ). Вообщем так - есть почтовый сервер, плюс на нём IIS. Сервер доступен сотрудникам нашей фирмы и подключен к Интернету. Необходимо устроить доступ к почте для наших сотрудников по https (т.е.443 порт). Т.е. шифруется канал только между сотрудниками и почтовым сервером. Как на этом сервере сделать запрос на сертификат для ЦС и что надо установить на клиентах (серт.ЦС+личный ?) ?

Ну и что, все равно запрос на сертификат формируется, только уже не клиентом, а вами. Или вы хотите после выпуска сертификата изменить данные в сертификате? :)
проще - через веб интерфейс ЦС, формируете запррос, получаете сертификат, устанавливаете на IIS, то же самое у клиентов, сертификат пользователя нужно поместить в хранилище личные
Службы сертификации Windows 2000

хм... я имел ввиду только запросы сертификатов. про перенос я ничего не сказал. перенос конечно будет на внешнем носителе. у меня, кстати, когда я переносил сертификаты по сети - они при установке ругались непонятными ошибками...

А я о чём спрашивал?
описание настройки HTTPS на IIS

корневые сертификаты ЦС и СОС (*.crl) надо тоже переносить и устанавливать, но лучше если эти сертификаты будут доступпны в онлайне по полям в сертификате пользователей CRL Distribution Poin и Authority Info Access

Pili,
у мну была следующая задача: есть два сервера на Solaris, в них нужно установить сертификаты для VPN. ЦС умер через месяц - ибо триальная версия была у криптопровайдера или как там его...
Он-лайн вы имеете ввиду - на ЦС ?

обычно так и оставляют на ЦС, но это не обязательно (доступ к веб интерфейсу ЦС лучше ограничить), регулярный перенос на какой-либо доступный (лучше корпоративный) веб ресурс (на который есть ссылки по CDP в сертификатах пользователей) корневых сертификатов и crl можно запланировать как задачу с помощью стандартных средств (net use, copy), посмотрите пример тестового УЦ тут

Pili,
я на ЦС выпустил СА, нагенерил 100000000 сертификатов и сервер с ЦС - форматнул.
да, дальше ручками... но что поделаешь...

Начинаю разворачивать ЦС. Полезли вопросы - при установке ЦС (под 2003) есть параметр СРОК ДЕЙСТВИЯ КОРНЕВОГО СЕРТИФИКАТА. По умолчанию 5 лет. Через 5 лет его можно просто "продлить" или придётся перегенерить ? И чем продление (если это всё-таки "продление") чревато для выданных сертификтов?
Что такое имя ЦС понятно, а что такое ИЗМЕНЯЕМЫЙ СУФФИКС ИМЕНИ и для чего он нужен?

Vi-P,
если не сложно скрин по второму вопросу?
а срок, если будете продливать то этот ЦС должен быть и через 5 лет. если снесёте - то ппц. но имхо.
а вам, что 5 лет мало? попробуйте 10 поставить...

прикрепил

Vi-P, это доменное имя твоего ЦС, также как сайты, напр. ca.name.ru, соответственно желательно чтобы по этому имени ЦС отзывался, в dns можно внести соответствующую запись. Веб интерфейс для это цс будет http://ca.name.ru/certsrv

да я его пустым оставлял...

Я так понимаю, что посколько ЦС у меня физически изолирован от сети, то данное имя можно и не задавать?

Vi-P, вы читали статью ? http://www.gotdotnet.ru/Forums/Web/493555.aspx

Vi-P, лучше задать, если вы хотите придерживаться стандартов

Да, читал. Очень хорошая статья. По ней кстати вопрос есть - когда я генерю сертификат для почтового сервера мне, согласно этой статьи и вобще логики создания сертификатов, надо при создании сертификата выбрать Шаблон сертификата -> Web Server. Но у меня просто нет такой опции Шаблон сертификата в отображаемом интерфейсе! Где можно указать тип шаблона ?

А если сервер не наделён ролью контроллера домена и физически отрублен от сети то что там писать? Если пишу NetBIOS имя компа, ругается на недопустимость такого имени (никаких спецсимволов в имени нет, т.е. ЦС не устраивает что-то другое).

что-то не припомню...
да ничего там не пишите...

Vi-P, надо писать не netbios, а dns имя, напр. netbiosname.domainname.ru, в файл hosts можно внести соответствие этого имени ip адресу (а лучше во внешний DNS). Имхо, будут очень большие неудобства, если ЦС не будет подключен к сети, crl придется обновлять вручную периодически переносить внешний ресурс, доступный пользователям (и туда же положить crt)
почитайте Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure
и Службы сертификации

Согласен, это неудобно. Но решение руководства ЦС изолировать. Так что буду таскать ручками.
А как же всё-таки на ЦС добраться до шаблонов сертификатов?

Спасибо, статья несколько расширила (чуть не написал расшарила :) ) диапазон знаний. Но вопрос по прежнему остаётся - как добраться до этих шаблонов на ЦС? Откуда ими управлять? Или если сервер изолирован они недоступны, т.е. по умолчанию лепится каго-то одного формата и всё?

Vi-P, вся инф-ия есть по тем ссылкам, которые я давал ранее, почитайте ещё раз о оснастке "Шаблоны сертификатов" certtmpl.msc

После изучения и практики становится понятно что играться с шаблонами в изолированном ЦС похоже не получится. Данная служба работает с доменом, точнее с AD. По крайней мере у меня не получилось.

Vi-P, правильно :) шаблоны в изолированном ЦС не используются, зачем они вам, если ЦС не в AD? Типы сертификатов при формировании сертификтов и так доступны, я приводил ссылку на тестовый ЦС, могли и посмотреть (только там для формирования сертификата cryptopro нужен, можно скачать тут 30 дней без лицензии работать будет)

Скажите, а каковы пути формирования запросов на сертификат для пользователя? Это можно сделать только через веб-интерфейс ЦС или и пользователь может на любой машине у себя сформировать запрос на сертификат в виде файла, который потом пошлёт в ЦС для генерации сертификата?

В литературе упоминается что изменить срок службы выдаваемых пользовательских сертификатов можно через реестр (а не только через переустановку ЦС :) ). Не подскажете нужные разделы реестра?

Немного вклинюсь в тему: поднял ЦС, настроил, все работает..но только под XP как с IE6, так и с IE7
На Висте не работает. Захожу на страницу выдачи сертификатов, загружается страница, но висит "Загрузка элемента ActiveX"

Подскажите, где копать: на висте что-то настроить или на серваке какой-то фикс для висты нужен?

Сорьки, уже нашел... http://support.microsoft.com/?kbid=922706

Здравствуйте.

У меня возникла проблема с получением сертификата от СЦ и установкой его на машину.

Ситуация следующая:
Есть 2 СЦ – корневой изолированный(развернут на виртуальной машине и используется только для создания корневого сертификата) и подчиненный СЦ предприятия развернутый на одном доменных контроллеров. На подчиненном СЦ предприятия в политиках установили присваивать запросам состояние ожидания до явной выдачи сертификата администратором. Оба СЦ работают, вроде бы нормально.

Возникла проблема при попытке выдать сертификат на компьютер(WinXP sp2). Получить его через web-интерфейс не получается в перечне шаблонов выдаваемых сертификатов «Компьютер» нет. Пробую через оснастку «сертификаты(локальный компьютер)». После создания запроса(через «запросить новый сертификат») в узле «Запросы заявок на сертификаты» появляется запрос, а на ЦС появляется заявка в ожидании. После выдачи сертификата по этой заявке(пр.клик по ней->выдать) ЦС не отдает его запросившему компьютеру. Экспортирую новый сертификат с ЦС в двоичном виде, переношу на запросившую машину и там импортирую в личные сертификаты. В итоге – запрос не исчезает, а в личных - появляется новый сертификат без закрытого ключа соответствующего ему(это понятно ООН по идее остался в заявке).

Подскажите, как мне правильно получить сертификат на компьютер?

Несоответствие, однако.

monkkey,


Я имею в виду в узел сертификаты(локальный компьютер)\Личные\Сертификаты. Или я чего-то не понял?

но есть галочка Store certificate in the local computer certificate store на странице certsrv/certrqma.asp (если формировать запрос через Create and submit a request to this CA.)

Pili,
Ага. Но там в шаблонах сертификата почему-то нет шаблона компьютера(и всех производных от него).

AlxCruel, на изолированном ЦС не используюся шаблоны сертификатов, на ЦС в AD шаблонами управлять через оснастки Шаблоны сертификатов и AD Site and Services-Sevices-Public Key Services-Certificate Templates

Pili,

Ага, они мне там и не нужны. Корневой изолированый ЦС у меня работает нормально. У меня проблемы именно с получением сертификата от подчиненного ЦС в AD.

Я туда лазил, шаблон "компьютер" в оснаcтке центр сертификатов есть. Через оснастку Шаблоны сертификатов сделал на основе шаблона "компьютер" свой - "Компьютер wdk" c большим сроком действия. Когда выдаю сертификат на компьютер через оснастку сертификаты они оба доступны, но через web интерфейс-то выдается сертификат только на пользователя :(.

Как правильно получить сертификат именно для рабочей станции?

На вкладке Request Handling шаблон привяжите к CSP и дайте права в Security

Pili,

Если можно немного подробнее, честно говоря не соображу, что нужно сделать:(.

Шаблон уже привязан к CSP(он его наследует от родительского шаблона "компьютер")

Права следующие:
Администраторы домена - чтение, запись, заявка;
Компьютеры домена - заявка;
Прошедшие проверку - чтение;

Но сертификат как не осоциируется с заявкой на него:(.

идете в AD Site and Services-Sevices-Public Key Services-Certificate Templates - выбираете нужный шаблон -пр. кн. мыши properies - Request Handling - 2-я вкладка, ставите галки на CSP которые будут исп-ся с этим шаблоном, на вкладке Security той группе, которая будет подавать запросы ставите read и enroll (обычно это гр. Прошедшие проверку), на веб сервере ЦС авторизация пользователей из домена у вас должна быть настроена.

Pili,

Поправил CSP, он действительно левый какой-то стоял:(. Безопасность тоже поправил, но что-то все по прежнему. А каков сам механизм получения сертификата для компьютера, может я что-то упускаю при запросе?

Подавать заявку поидее должен компьюр, насколько я понимаю из под учетки system, а к web-интерфейсу я имею доступ только как пользователь. Или я не прав?

AlxCruel, вот только что через оснастку сертификаты (local computer) проверил-получил сертификат на компьютер, всё прошло нормально. Имя шаблона - Machine. А на ЦС права смотрели для прошедших проверку? Попробуйте поставить автоматическую выдачу сертификатов по запросу и получить через оснастку.
Почему не хватает пользовательского сертификата, размещенного (скопированного) в хранилище local computer? Использование ключа то же: Digital Signature, Key Encipherment (a0), OID все равно тот же: Client Authentication (1.3.6.1.5.5.7.3.2) и только добавляется Server Authentication (1.3.6.1.5.5.7.3.1), алгоритм sha1RSA (CSP Microsoft RSA SChannel Cryptographic Provider), для шаблона User, кроме 1.3.6.1.5.5.7.3.2 ещё добавляются OID:Encrypting File System (1.3.6.1.4.1.311.10.3.4), Secure Email (1.3.6.1.5.5.7.3.4)
Почитайте здесь Запрос сертификатов компьютера для проверки подлинности сервера
у вас там будет то же самое, только для проверки подлинности компьютера
и здесь
Создание автоматического запроса сертификата для компьютеров в в объекте групповой политики
Автоматическая подача заявок на сертификаты в ОС Windows XP
Запрос сертификата для компьютера не в домене - TechNet Russia
Sysadmin's Union - Разворачивание цепочки центров сертификации на ...

Доброго всем времени суток! Есть задача - хочу поднять в сети Центр Сертификации на Win2003. В сети (домен) уже есть Центр Сертификации Win2000. Как лучше поступить - похерить 2000-ый и поставить на 2003? Или можно иметь в сети 2 независимых ЦС? Или лучше сделать новый 2003 подчиненным 2000-му? Насчет последнего - сервак с 2000-м ЦС после модернизации домена до 2003 будет выведен.

lumoder, 1-ый способ :), т.к. Хотя если ставить поверх, всё должно работать. Если хотите, можете забэкапить ЦС от Win2000 с сохранением сертификата от ЦС win2000 и потом восстановить его на Win2003 (при установке использовать существующий сертификат), можно по этой схеме, на криптопро не обращать внимания (технология та же)

А если просто поднять второй ЦС? Они не поругаются между собой? И еще вопрос: кем должен быть заверен сертификат моего ЦС?

Второго корневого ЦС в домене не бывает, можете 2-ой сделать подчиненным.
Никем, сертификат корневого ЦС - самоподписанный.

Проблема в том, что сервер, являющийся корневым CA сейчас скоро будет убит и надо его чем-то заменить. Как тут быть? К чему приведет удаление корневог CA сейчас?

Уважаемые форумчане, так кто-нибудь ответит? К чему приведет удаление корневого CA?

Удаление корневого ЦА приведет к тому, что ты не сможешь проверять подлинность уже выданных сертификатов + не сможешь выдавать новые.

Хорошо. Тогда как быть со старым CA? Сервер, на котором он стоит, планируется вывести из использования. Возможно после удаления корневого CA повысить уровень бывшего подчиненного?

Добрый день.

Помогите, пожалуйста чайнику разобраться с Центром Сертификации в домене. Дело в том, что на одном из первых КД когда-то был установлен и поднят этот ЦС (Certification Authority), и в его консоли хранятся сертификаты для КД на 2 года (которые, кстати, уже скоро истекают). И вот недавно в домен был добавлен новый сервер, КД, у него тоже сертификат прописался в оснастке тоже на 2 года. Теперь проблема в том, что этот сервер, на котором установлен ЦС, удаляется из домена, соответственно и ЦС в домене тоже как такового не будет.

Теперь два глобальных вопроса:
1) Нужно ли поднимать этот ЦС на новом КД (или другом сервере) или это необязательная оснастка для нормального функционирования домена?
2) Где можно подробнее (но без лишней "воды") прочитать - для чего нужен Центр Сертификации вообще, какова его главная функция в домене?

А то я с какой стороны не подхожу - никак не въеду - ну что это за ЦС? CA? Нужно? Зачем? Как?

В инете юзал поиск, никакой статьи для "ламера" не нашел Желательно на русском. Спасибо!

monkkey, благодарю. ушел разбираться. Надеюсь, там найдутся ответы на все мои вопросы :closed-to

как правильно перенести центр сертификации н другой DC? предстоит смена железа. хел ми :(

Не создавайте себе лишних проблем. Вам просто нужно полностью сервер перенести на новую железяку - я это делал при помощи acronis. Поищите поиском на форуме тут не раз обсуждалась тема переноса сервера с одного железа на другое.

это не выход, у старого сервера сыпется винт, и как выяснилось это простой ком HP DX 2200 :(

не вижу в этом ни какой проблемы. Я вам не предлагаю старый винт воткнуть в другой сервер. Вы просто переносите данные с одного винта на другой. При этом bad blockи не переносятся.

Но если вы все таки хотите сделать по своему придется извращаться http://support.microsoft.com/kb/298138.
Тоже делается через архивацию и восстановление.
Только не забудте потом переименовать сервера. Чтобы новый сервер был назван именем старого.

а нет вариантов поменять имя хоста :) очень нужно, статейку читал

После того, как вы переименуете сервер. Все сертификаты выданные им будут не действительны. Так что никак.
Если это капец как критично, то придется поднимать параллельный СА выдавать новые сертификаты, сертификаты выданные старым СА отзывать. И после этого сносить с него СА.

Как говорят - ты попал :).

Сам такого не делал. Но знаю людей, которым пришлось прибегнуть к таким мерам.

спасибо большое
буду пробовать на выходных шаманит :)

Коллеги. Прошу помощи.
Борюсь с проблемой:
Automatic certificate enrollment for local system failed to enroll for one "бла-бла-бла" certificate (0x80070005). Access is denied.

Перечитал все доступные материалы по этой ошибке. При ручном запросе вылезает это:

The certificate request failed because of one of the following conditions:
- the certificate request was submitted to a Certification Authority (CA) that is not started.
- You do not have the permissions to request certificates from the available CAs.

По этой ошибке тоже все перечитал и испробовал все рекомендации.
Остро необходимо получить сертификаты для контроллеров домена. Обычными путями это сделать не удается.
Домен на 2003 ЕЕ, машины с 2000 виндой через групповые политики преспокойно получают сертификаты автоматически. Машины с 2003 и ХП не могут ни как. Есть корневой центр и подчиненный оба центра могут выдать самим себе любые сертификаты, а так же любым желающим сертификаты на пользовательских шаблонах, на машинных - нет.
Есть версия, что собака зарыта глубоко в недрах АД, хотя необходимые права и разрешения на объектах имеющих отношение к сертификации проверены и настроены.
В общем вопрос: Как можно вручную создать запрос сертификата с тем, чтобы потом его выписать на ЦС и перенести на требуемую машину?
При обращении на веб страницу ЦС в списке шаблонов нужные отсутствуют. Если использовать мастер запроса сертификата на машине, то он сразу ломится на СЦ, можно ли экспортировать созданный им запрос в файл?

У меня такая проблема

Я сначала поставил на "win 2003 enterprise" центр сертификации (stand-alone root CA) и отключил от сети(изолировал) (комп в не домены), после чего я на другом компьютере хотель установить win 2003 enterprise изолированный подчинённый центр сертификации(stand-alone subordinate CA) , который тоже в не домены.
Запрос сохранил на файл(*.req). Этот файл я импортировал на корневой центр сертификации, и затем, на основе импортированного запроса выдал сертификат. На корневой CA я публиковал список отозванных сертификатов (*.crl). После чего взял от корневого центра, сертификат содержащий открытый ключ(root.cer), список отозванных сертификатов (rootCA.crl) и файл, содержащий сертификат, выданный подчинённому центру сертификации на основании запроса.
"Эти три файла мы переносим с корневого центра сертификации на подчинённый. Сертификат корневого центра сертификации импортируем на компьютер с установленным подчинённым центром сертификации (для этого достаточно просто открыть файл сертификата и нажать кнопку «установить сертификат»). Файл, содержащий список отозванных сертификатов необходимо положить в папку %system root%\system32\certsrv\certenroll (это тот путь, который мы указывали, когда меняли свойства корневого центра сертификации). А так же необходимо импортировать в реестр, с помощью остнастки - сертификаты. Файл, содержащий сертификат подчинённого центра сертификации необходимо импортировать в подчинённый центр сертификации:"

После всех этих действий когда хачу запускать подчинённый центр сертификации выдает такое сообщение

The revocation function was unable to check revocation because the revocation server was offline 0*80092013(2146885613)