Краткое руководство по Microsoft PKI - Установка отключенного корневого CA

ОГЛАВЛЕНИЕ

 

Установка отключенного корневого CA

Чтобы установить отключенный корневой CA, вам нужно выполнить следующие операции:

  • Подготовить файл CAPolicy.inf
  • Установить сервис сертификатов Windows
  • Опубликовать список CRL
  • Запустить пост-настроечнный командный файл

Вот как вы можете сделать это:

  1. Установить сервер с Windows Server 2003 Standard Edition, включая SP1 или более свежие версии и убедиться, что он запущен как автономный сервер (например, он не должен быть элементом никакого домена)
  2. Make the necessary parameter replacements in the CAPOlicy.inf file below (highlighted with red) Сделать необходимые замены параметров в файле CAPOlicy.inf, приведенном ниже (выделены красным цветом)

    Рисунок 2: Имя файла: CAPolicy.inf
  3. Копировать файл CAPolicy.INF в %windir%\capolicy.inf
  4. Пройти по Start Menu / Control Panel / Add or Remove Programs |нажать на Add/Remove Windows Components
  5. В Windows Components Wizard, вы выбираете Certificates Services и нажимаете Next
  6. Обратите внимание на окно сообщений. Вы не должны переименовывать компьютер, раз установлены сервисы сертификата Windows. Нажмите Yes

    Рисунок 3
  7. В поле типа центра сертификации нажмите Stand-alone root CA, и поставьте галочку напротив “Use custom settings to generate the key pair and CA certificate” и нажмите Next

    Примечание: Это нормально, что опции Enterprise root CA и Enterprise subordinate CA не могут быть выбраны, так как этот сервер не является элементом домена.


    Рисунок 4
  8. Выберите CSP, который вы хотите использовать для вашего отключенного корневого CA. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако, вы также можете выбрать другой CSP, если вы, например, установили Hardware Security Module (HSM) и соединились с сервером через HSM, прежде чем вы начали процедуру установки.

    Выберите по умолчанию хешированный алгоритм SHA-1

    Установите длину ключа 4096

    Убедитесь, что обе опции “Allow this CSP to interact with the desktop” и“Use an existing key” не выбраны. Нажмите Next


    Рисунок 5
  9. Введите полное имя для вашего корневого CA, настройте суффикс отличительного имени (O=домен, C=локальный) и установите период допустимости на 20 лет, затем нажмите Next

    Рисунок 6
  10. Примите рекомендации по умолчанию для базы данных сертификата и регистрирующих файлов (или поменяйте их, по желанию) и нажмите Next

    Рисунок 7
  11. Так как это отключенный корневой CA, то нет необходимости устанавливать IIS (Внутренний информационный сервис) и по этой причине выводится окно сообщения. Нажмите OK

    Рисунок 8
  12. Нажмите Finish

    Рисунок 9
  13. Нажмите Start / Programs / Administrative Tools / Certificate Authority
  14. Откройте подокно вашего сервера центра сертификации и правой кнопкой мыши щелкните на Revoked Certificates. Нажмите All tasks / Publish

    Рисунок 10
  15. Выберите New CRL и нажмите OK
  16. Скопируйте %windir%\system32\certsrv\certenroll\*.crt и *.crl в USB ключ. Вам понадобятся эти файлы для следующего подчиненного(subordinate) CA, который будет установлен
  17. Вам также потребуется скопировать эти файлы в расположение CDP HTTP, как показано в представленном ранее файле caconfig.inf
  18. Сделайте необходимые замены параметра в ниже приведенном файле (выделены красным цветом) и запустите файл с командной строки

    Рисунок 11
  19. Вы установили корневой CA.

Мы говорили, что есть причины безопасности, по которым необходимо держать корневой CA и политику CA (root and policy CA) отключенными. Только «выпускающие» CA рекомендуется держать включенными. Так как root and policy CA отключены, они не будут являться элементами домена. Если устройство, являющееся элементом домена, не зарегистрировано в домене в течение 6 месяцев (значение по умолчанию), тогда аккаунт устройства «зависнет» и больше не будет допущен к регистрации в домене.