Bővülő CA lánc, amely a Microsoft ca, Rendszergazda
A rendszer, ami akkor végre:
A gyökér CA lesz telepítve a számítógépen nevű RootCA.
Telepíteni a gyökér CA számítógép szükséges Windows Server IIS 6.0 vagy újabb verzió. Szükséges, hogy ellenőrizze a rendelkezésre álló ASP IIS. A számítógép nem kell figyelembe venni a tartományban. Csatlakoztassa a számítógépet a hálózathoz, így nem feltétlenül, de a hálózati kártyát a számítógép jelen kell lennie.
Telepítése CA zajlik alapértelmezés szerint. Azaz, nem kell változtatni a telepítés során a beállításokat. Gondoskodunk arról, hogy van beállítva, hogy Önálló gyökér CA
Az egyetlen dolog, amit meg kell adnia - a neve a gyökér CA (nevezzük ROOT CA).
Mivel nem ez a számítógép a hálózaton elérhető, meg kell határoznunk a helyét a hálózatunkon, amely alapján egy fájl tartalmaz egy listát a visszavont tanúsítványok. Tegyük fel, hogy az adatok úti cél az a szerver, amelyen telepítve van egy alárendelt hitelesítő hatóság - egy számítógép nevét SubCA. Ehhez meg kell csípés a tulajdonságait a gyökér hitelesítő hatóság.
- Ide a tulajdonságait a gyökér hitelesítő hatóság.
Felhívjuk figyelmét, hogy a feltüntetett teljes (FQDN) domain nevet a számítógép.
Ezzel a lépéssel már rámutattunk a boltozat, amely alapján listáját tartalmazó fájl visszavont tanúsítványok a root szerver.
Akkor kell beállítani a lejárati dátumot tanúsítvány-visszavonási lista (alapértelmezett hét), mert akkor kell közzétenni minden héten új CRL, és ossza meg a hálózaton (például a gyökér CA nem csatlakozik a hálózathoz). Ehhez kattintson jobb gombbal a visszavont tanúsítványok kattintson a helyi menüből válassza a Tulajdonságok lehetőséget.
Ezután a megjelenő ablakban módosíthatja a CRL közzétételi intervallum a kívánt értékre, például 1 évre. (Ez azt jelenti, hogy a CRL lesz egy évig érvényes).
Miután ezeket a lépéseket, a lista a visszavont tanúsítványok már nem lehet közzé egy fájl formájában (talán ez egy olyan jelenség, nem hiba), és meg kell kivinni a registry (hogyan kell ezt az alábbiakban tárgyaljuk).
Miután az összes javasolt intézkedést, hogy túlterheli a hitelesítő hatóság.
Ebben a beállításban a gyökér CA befejeződött. De ez még mindig meg kell bontania az igazolást.
Amikor telepíti hitelesítésszolgáltató kell állapítani, hogy a szerver egy Enterprise alárendelt CA
És megkérem a nevét (például SUB CA).
A telepítés után az alárendelt Certification Authority kérni fogja a root CA, vagy menteni a tanúsítvány kérést egy fájlba. Mivel a gyökér CA nem érhető el a hálózaton, akkor fenntartjuk a kérést egy fájlba.
Aztán át a fájl kérés a root CA (Root CA) minősítést, importálja a kérelmet a hitelesítő hatóság:
majd adja ki a tanúsítványt alapján az importált lekérdezés:
Ezután a tanúsítvány fájlba exportálja.
Ezután közzé tanúsítvány-visszavonási lista (akkor is, ha nincs igazolás visszavonása esetén a művelet mindig kell végezni).
Aztán szükségünk 3 átmásolt a gépen, ahol a gyökér hitelesítő hatóság a gép egy alárendelt hitelesítő hatóság:
- A fájl tartalmazza a nyilvános kulcsot a gyökér hitelesítő hatóság, a mi esetünkben RootCA_ROOT CA.cer mappában található% system root% \ system32 \ Certsrv \ certenroll - ez lehet az egyetlen a tanúsítvány fájlt a neve, amely a számítógép nevét és a tanúsítvány hatóság.
- A fájl tartalmazza a tanúsítvány által kibocsátott alárendelt hitelesítő hatóság kérésére. A mi esetünkben ez SubCA.domian.local_SUB CA.cer. Elhelyezkedés A fájl van megadva, amikor exportálja a tanúsítványt egy fájlba (lásd fent).
- És az utolsó fájl egy fájl, amely tartalmaz egy listát a visszavont tanúsítványok. Ez a fájl található% system root% \ system32 \ Certsrv \ certenroll és kiterjesztése .crl. A mi esetünkben ez ROOT CA.crl (fájl, amely a végén a fájl neve „+” jel, amely a delta tanúsítvány visszavonási lista). Azonban a fent leírtak szerint, egy fájl, amely tartalmaz egy listát a visszavont tanúsítványok, nem lehet ebben a mappában, akkor ezt kell exportálni a regisztrációs fájlt. Ehhez nyissa meg a Certificate Management Console a helyi számítógépen, és az export a szükséges tanúsítvány visszavonási lista a fájlhoz:
Mint már említettük, ezt a három fájlt is át a gyökér CA tanúsítvány az alárendelt. Root CA tanúsítvány import egy számítógépet egy alárendelt hitelesítő hatóság (elég csak megnyitni a tanúsítványt fájlt, és kattintson az „Install Certificate”). Fájl tartalmaz egy listát a visszavont tanúsítványok szükséges, hogy azt a% system root% \ system32 \ Certsrv \ certenroll (ez az az út, hogy már rámutatott arra, hogy megváltoztatja a tulajdonságait a gyökér CA). És azt is meg kell importálni a registry segítségével lakott, - igazolásokat. A fájl tartalmazza a tanúsítvány alárendelt hitelesítő hatóság importálni kívánt alárendelt hitelesítő hatóság:
Most fut az alárendelt hitelesítő hatóság.
Miután az alárendelt CA elindul, a gyökér CA kikapcsolható, és tedd őket egy széf. Ő akkor szükség lehet a két esetben:
- Mi megy felvenni egy másik alárendelt CA a második szintje;
- Meg kell perevypisat igazolás alárendelt hitelesítő hatóság;
Most be kell állítania egy alárendelt hitelesítő hatóság.
A listát a rendelkezésre álló sablonok a bizonyítványok kiadása, akkor adjunk hozzá két Beiratkozási Agent sablon (Computer), és Beiratkozás ügynök, erre, jobb klikk a Tanúsítványsablonok, a helyi menüből válassza ki az Új, majd tanúsítványsablon kiadni.
A megjelenő ablakban válasszuk ki a két minta Beiratkozás ügynök igazolások, Beiratkozási Agent (Computer), majd kattintson az «OK» gombra.
És látjuk, hogy ezek a tanúsítványsablonok jelenik meg a listában áll a kibocsátás a tanúsítványsablonok:
Ezután válassza ki a Speciális igazolás kérése:
Aztán létrehozása és kérelmet nyújt be ezen a CA:
Ezután a legördülő listából válassza ki Beiratkozás Agent sablont, és kattintson a Küldés gombra. Ezután állítsa be a kapott igazolást a számítógépen.
Annak érdekében, hogy iratkozzon fel a többi felhasználó igazolások szükségesek, vagy jelentkezés Agent tanúsítvány telepítve a felhasználó profilját, amely tanúsítványokat vagy Beiratkozási Agent (Computer), telepítve a számítógépen, amelyen lesz tanúsítványok kibocsátása.
Kérni az igénylési Agent bizonyítvány vagy Beiratkozási Agent (Computer) fel kell tüntetni a Domain Rendszergazdák csoport tagja.
Az a felhasználó, aki ki tanúsítványt a többi felhasználó, adja meg a Tartománygazdák csoport nem feltétlenül elég ahhoz, hogy adja meg a domain felhasználók csoport. De kell, hogy hozzanak létre hozzáférési jogokat írni és olvasni, hogy a minősítő hatóság, valamint a jogot, hogy olvasni, írni, kérdés és avtovydachu egy sablont, amelyen a bizonyítványokat. A helyi gépen, a felhasználónak meg kell adnia a csoport a haladó felhasználók, meg kell futtatni az ActiveX komnonentov.
Talán volt, amelynek célja nem DeldaCRLAllowed és DeltaCRLAllowed