Меню Рубрики

Установка certification authority web enrollment

Certification Authority Web Enrollment Gu >08/31/2016
  • 10 minutes to read
  • —>

    Applies To: Windows Server 2012 R2, Windows Server 2012

    The Certification Authority (CA) Web Enrollment role service provides a set of web pages that allow interaction with the Certification Authority role service. These web pages are located at https:// /certsrv, where is the name of the server that hosts the hosts the CA Web Enrollment pages. The certsrv portion of the URL should always be in lowercase letters; otherwise, users may have trouble checking and retrieving pending certificates.

    The CA Web Enrollment role service pages require that you secure them with secure sockets layer (SSL) / transport layer security (TLS)> If you do not, you will see an error: «In order to complete the certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication.» To resolve this issue, you must configure HTTPS authentication, which is discussed in the TechNet Wiki article: Active Directory Certificate Services (AD CS): Error: «In order to complete certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication».

    The CA Web Enrollment role service pages allow you to connect to the CA by using a web browser and performing common tasks, such as:

    Requesting certificates from the CA.

    Requesting the CA’s certificate.

    Submitting a certificate request by using a PKCS #10 file.

    Retrieving the CA’s certificate revocation list (CRL).

    CA Web Enrollment is useful when you interact with a stand-alone CA because the Certificates Microsoft Management Console (MMC) snap-in cannot be used to interact with a stand-alone CA. Enterprise CAs can accept certificate requests through the Certificates snap-in or the CA Web Enrollment role service pages.

    Starting in Windows ServerВ® 2008, the CA Web Enrollment role service includes updated sample web pages for web-based certificate enrollment operations. These web pages are updated to work together with the CertEnroll component (available starting with Windows Vista). These web pages also work together with Xenroll.

    The certificate enrollment Web pages starting in Windows Server 2008 detect the client operating system and then select the appropriate control.

    If a client computer is running Windows Server 2003 or Windows XP, the certificate enrollment web pages use Xenroll.

    If the client computer is running at least Windows VistaВ® or Windows Server 2008, the CA Web Enrollment role service uses CertEnroll.

    In WindowsВ® 8, CA Web Enrollment pages will work only with Internet Explorer 10 for the desktop. Starting in Windows Server 2012 R2, client computers that run Windows XP are not supported for web enrollment.

    For more information about CertEnroll and Xenroll, see the following:

    CA for Web Enrollment

    You can install CA Web Enrollment on a server that is not a CA to separate web traffic from the CA. Installing CA Web Enrollment configures the computer as an enrollment registration authority. You must select a CA to be used with the CA Web Enrollment pages. The CA that CA Web Enrollment uses is called the Target CA in the user interface. You can select the target CA by using the CA name or the computer name that is associated with the CA. Click the Select button to locate the CA that you want to use.

    Web Enrollment Configuration

    If you install the CA Web Enrollment pages on a computer that is not the target CA, the computer account where the CA Web Enrollment pages are installed must be trusted for delegation. See the following resources for more information:

    If CA Web Enrollment pages installation fails on a migrated CA, it could be that the setup status in the registry is incorrectly set. For more information, see Certification Authority Web Enrollment Configuration Failed 0x80070057 (WIN32: 87)

    Use the CA Web Enrollment pages

    If you have been granted access permissions, you can perform the following tasks from the CA Web Enrollment pages:

    Request a basic certificate.

    Request a certificate with advanced options.

    This gives you greater control over the certificate request. Some of the user-selectable options that are available in an advanced certificate request include:

    Cryptographic service provider (CSP) options. The name of the cryptographic service provider, the key size (1024, 2048, and so on), the hash algorithm (such as SHA/RSA, SHA/DSA, MD2, or MD5) and the key specification (exchange or signature).

    Key generation options. Create a new key set or use an existing key set, mark the keys as exportable, enable strong key protection, and use the local computer store to generate the key.

    Additional options. Save the request to a PKCS #10 file or add specific attributes to the certificate.

    Check a pending certificate request. If you have submitted a certificate request to a stand-alone certification authority, you need to check the status of the pending request to see if the certification authority has issued the certificate. If the certificate has been issued, it will be available for you to install it.

    Retrieve the certification authority’s certificate to place in your trusted root store or install the entire certificate chain in your certificate store.

    Retrieve the current base and delta CRLs.

    Submit a certificate request by using a PKCS #10 file or a PKCS #7 file.

    In general, you use a PKCS #10 file to submit a request for a new certificate and a PKCS #7 file to submit a request to renew an existing certificate. Submitting requests with files is useful when the certificate requester is unable to submit a request online to the certification authority.

    Request a basic certificate

    To use Internet Explorer to request a basic certificate

    In Internet Explorer, connect to https:// /certsrv, where is the host name of the computer running the CA Web Enrollment role service.

    Click Request a certificate.

    On Request a Certificate, click User Certificate.

    On the User Certificate Identifying Information page, do one of the following:

    Comply to the message «No further identifying information is required. To complete your certificate, press Submit.»

    Enter your identifying information for the certificate request.

    (Optional) Click More Options to specify the cryptographic service provider (CSP) and choose if you want to enable strong private key protection. (You receive a prompt every time you use the private key that is associated with the certificate.)

    Click Submit.

    If you see the Certificate Pending page, the CA administrator will have to approve the request before you can retrieve and install the certificate.

    If you see the Certificate Issued page, click Install this certificate.

    Request a certificate with advanced options

    To use Internet Explorer to create an advanced certificate request

    In Internet Explorer, connect to https:// /certsrv, where is the host name of the computer running the CA Web Enrollment role service.

    Click Request a certificate.

    Click Advanced certificate request.

    Click Create and submit a certificate request to this CA.

    Fill in the requested identifying information and other options that you require.

    Click Submit.

    If you see the Certificate Pending page, the CA administrator will have to approve the request before you can retrieve and install the certificate.

    If you see the Certificate Issued page, click Install this certificate.

    Check a pending certificate request

    To check a pending certificate request using Internet Explorer

    In Internet Explorer, open https:// /certsrv, where is the hostname of the computer running the CA Web Enrollment role service.

    Click View the status of a pending certificate request.

    If there are no pending certificate requests, you will see a message to that effect. Otherwise, select the certificate request that you want to check, and click Next.

    Check the following pending certificate requests:

    Still pending. You must wait for the administrator of the certification authority to issue the certificate. To remove the certificate request, click Remove.

    Issued. To install the certificate, click Install this certificate.

    Denied. Contact the administrator of the certification authority for further information.

    Retrieve the CA certificate

    To retrieve a CA certificate by using Internet Explorer

    In Internet Explorer, connect to https:// /certsrv, where is the name of the computer running the CA Web Enrollment role service.

    Click Download a CA certificate, certificate chain, or CRL.

    If you want to trust all the certificates that are issued by this CA, click Install this CA certificate chain.

    If the CA has been renewed, you have the choice of which version of the CA certificate you want to download.

    Select the encoding method that you want to use for the CRL: DER or Base 64.

    Under CA Certificate, click the CA certificate that you want to download, and then click Download CA certificate or click Download CA certificate chain.

    In File Download, click Open this file from its current location, and then click OK.

    When the Certificate dialog box appears, click Install this certificate.

    In the Certificate Import Wizard, click Automatically select the certificate store based on the type of certificate.

    Retrieve the current base and delta CRLs

    To retrieve a certificate revocation list by using Internet Explorer

    In Internet Explorer, connect to https:// /certsrv, where is the name of the computer running the CA Web Enrollment role service.

    Click Download a CA certificate, certificate chain, or CRL.

    Click the encoding method that you want to use for the CRL, DER or Base 64.

    Click Download CA certificate.

    Click Download CA certificate chain.

    Click Download latest base CRL.

    Click Download latest delta CRL.

    The latest base CRL must already be installed for the delta CRL to function.

    When the File Download dialog box appears, click Save. Select a folder on your computer to store the .crl file, and then click Save.

    Open Windows Explorer and locate the .crl file you just saved.

    Right-click the .cer or .crl file and click Install Certificate or Install CRL, and then click Next.

    When the Certificate Import Wizard opens, click Automatically select the certificate store based on the type of certificate.

    Submit a certificate request by using a PKCS #10 file or a PKCS #7 file

    To submit a certificate request by using a PKCS #10 or PKCS #7 file by using Internet Explorer

    In Internet Explorer, connect to https:// /certsrv, where is the name of the computer running the CA Web Enrollment role service.

    Click Request a certificate, and then click Advanced certificate request.

    Click Submit a certificate request using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.

    In Notepad, click File, click Open, select the PKCS #10 or PKCS #7 file, click Edit, click Select all, click Edit, and then click Copy. On the Web page, click the Saved request scroll box. Click Edit, and then click Paste to paste the contents of certificate request into the scroll box.

    If you are connected to an enterprise CA, choose the certificate template that you want to use. By default, the appropriate template is named Subordinate Certification Authority.

    If you have any attributes to add to the certificate request, enter them into Additional Attributes.

    Click Submit.

    If you see the Certificate Pending web page, see Check a pending certificate request earlier in this document.

    If you see the Certificate Issued web page, click Download certificate chain. Choose to save the file to your hard disk drive, and then import the certificate into your certificate store.

    источник

    Настройка веб-служба регистрации сертификатов для продления на основе ключа сертификата на настраиваемом порту Configuring Certificate Enrollment Web Service for certificate key-based renewal on a custom port

    Авторы: Житеш сакур, мира Мохидин, технические рекомендации с группой Windows. Authors: Jitesh Thakur, Meera Mohideen, Technical Advisors with the Windows Group. Инженер службы поддержки Анкит тяги с группой Windows Ankit Tyagi Support Engineer with the Windows Group

    Сводка Summary

    Эта статья содержит пошаговые инструкции по реализации веб-служба политик регистрации сертификатов (CEP) и веб-служба регистрации сертификатов (CES) на настраиваемом порте, отличном от 443, для продления на основе ключей сертификатов, чтобы воспользоваться преимуществами автоматического возобновление функции CEP и CES. This article provides step-by-step instructions to implement the Certificate Enrollment Policy Web Service (CEP) and Certificate Enrollment Web Service (CES) on a custom port other than 443 for certificate key-based renewal to take advantage of the automatic renewal feature of CEP and CES.

    В этой статье также объясняется, как работают методы CEP и CES и предоставляются рекомендации по установке. This article also explains how CEP and CES works and provides setup guidelines.

    Рабочий процесс, который входит в эту статью, относится к конкретному сценарию. The workflow that’s included in this article applies to a specific scenario. Один и тот же рабочий процесс может не работать в другой ситуации. The same workflow may not work for a different situation. Однако принципы останутся прежними. However, the principles remain the same.

    Заявление об отказе: Эта настройка создается для конкретного требования, при котором не требуется использовать порт 443 для HTTPS-соединений по умолчанию для серверов CEP и CES. Disclaimer: This setup is created for a specific requirement in which you do not want to use port 443 for the default HTTPS communication for CEP and CES servers. Хотя такая настройка возможна, она имеет ограниченную поддержку. Although this setup is possible, it has limited supportability. Службы и поддержка для пользователей помогут вам в том, чтобы при соблюдении этого руководством тщательно использовать минимальное отклонение от предоставленной конфигурации веб-сервера. Customer Services and Support can best assist you if you follow this guide carefully using minimal deviation from the provided web server configuration.

    Сценарий Scenario

    В этом примере инструкции основаны на среде, использующей следующую конфигурацию: For this example, the instructions are based on an environment that uses the following configuration:

    Лес Contoso.com, в котором есть инфраструктура открытых ключей (PKI) служб Active Directory Certificate Services (AD CS). A Contoso.com forest that has an Active Directory Certificate Services (AD CS) public key infrastructure (PKI).

    Два экземпляра CEP/CES, настроенные на одном сервере, работающем под учетной записью службы. Two CEP/CES instances that are configured on one server that’s running under a service account. Один экземпляр использует имя пользователя и пароль для первоначальной регистрации. One instance uses username and password for initial enrollment. Другой использует проверку подлинности на основе сертификатов для продления на основе ключей в режиме только возобновления. The other uses certificate-based authentication for key-based renewal in renewal only mode.

    Пользователь имеет компьютер с Рабочей группой или не присоединенным к домену, для которого он будет регистрировать сертификат компьютера, используя учетные данные пользователя и пароль. A user has a workgroup or non-domain-joined computer for which he will be enrolling the computer certificate by using username and password credentials.

    Подключение пользователя к CEP и CES по протоколу HTTPS происходит через пользовательский порт, например 49999. The connection from the user to CEP and CES over HTTPS occurs on a custom port such as 49999. (Этот порт выбирается из динамического диапазона портов и не используется в качестве статического порта любой другой службой.) (This port is selected from a dynamic port range and is not used as a static port by any other service.)

    Когда время существования сертификата приближается к концу, компьютер использует обновление на основе ключей CES для продления сертификата по тому же каналу. When the certificate lifetime is nearing its end, the computer uses certificate-based CES key-based renewal to renew the certificate over the same channel.

    Инструкции по настройке Configuration instructions

    Обзор Overview

    Настройте шаблон для обновления на основе ключей. Configure the template for key-based renewal.

    В качестве необходимого компонента настройте сервер CEP и CES для проверки подлинности имени пользователя и пароля. As a prerequisite, configure a CEP and CES server for username and password authentication.
    В этой среде мы будем называть экземпляр «CEPCES01». In this environment, we refer to the instance as «CEPCES01».

    Настройте другой экземпляр CEP и CES с помощью PowerShell для проверки подлинности на основе сертификата на том же сервере. Configure another CEP and CES instance by using PowerShell for certificate-based authentication on the same server. Экземпляр CES будет использовать учетную запись службы. The CES instance will use a service account.

    В этой среде мы будем называть экземпляр «CEPCES02». In this environment, we refer to the instance as “CEPCES02”. Используемая учетная запись службы — «цепцессвк». The service account that’s used is ”cepcessvc”.

    Настройте параметры на стороне клиента. Configure client-side settings.

    Настройка Configuration

    В этом разделе описаны шаги по настройке первоначальной регистрации. This section provides the steps to configure the initial enrollment.

    Для работы CES можно также настроить любую учетную запись службы пользователя, MSA или GMSA. You can also configure any user service account, MSA, or GMSA for CES to work.

    В качестве необходимого компонента необходимо настроить CEP и CES на сервере, используя проверку имени пользователя и пароля. As a prerequisite, you must configure CEP and CES on a server by using username and password authentication.

    Настройка шаблона для продления на основе ключей Configure the template for key-based renewal

    Можно создать дубликат существующего шаблона компьютера и настроить следующие параметры шаблона: You can duplicate an existing computer template, and configure the following settings of the template:

    На вкладке Имя субъекта шаблона сертификата убедитесь, что выбрано предложение в запросе и использование сведений о субъекте из существующих сертификатов для параметров запросов на продление автоматической регистрации . On the Subject Name tab of the certificate template, make sure that the Supply in the Request and Use subject information from existing certificates for autoenrollment renewal requests options are selected.

    Перейдите на вкладку » требования к выдаче » и установите флажок » утверждение диспетчером сертификатов ЦС «. Switch to the Issuance Requirements tab, and then select the CA certificate manager approval check box. Требования к выдаче

    Назначьте разрешение Чтение и Регистрация учетной записи службы цепцессвк для этого шаблона. Assign the Read and Enroll permission to the cepcessvc service account for this template.

    Опубликуйте новый шаблон в центре сертификации. Publish the new template on the CA.

    Убедитесь, что для параметров совместимости в шаблоне задано значение Windows Server 2012 R2 , так как существует известная ошибка, при которой шаблоны не отображаются, если установлена совместимость с Windows Server 2016 или более поздней версии. Make sure the compatibility settings on the template is set to Windows Server 2012 R2 as there is a known issue in which the templates are not visible if the compatibility is set to Windows Server 2016 or later version. Дополнительные информацию см. в разделе не удалось выбрать шаблоны сертификатов, совместимые с центром сертификации Windows server 2016, из центра сертификации Windows server 2016 или более поздней версии или серверов CEP . For more informaiton, see Cannot select Windows Server 2016 CA-compatible certificate templates from Windows Server 2016 or later-based CAs or CEP servers .

    Настройка экземпляра CEPCES01 Configure the CEPCES01 instance

    Шаг 1. Установка экземпляра Step 1: Install the instance

    Чтобы установить экземпляр CEPCES01, используйте один из следующих методов. To install the CEPCES01 instance, use either of the following methods.

    Метод 1 Method 1

    Пошаговые инструкции по включению CEP и CES для проверки подлинности имени пользователя и пароля см. в следующих статьях. See the following articles for step-by-step guidance to enable CEP and CES for username and password authentication:

    Убедитесь, что не установлен флажок «включить обновление на основе ключей», если вы настроили экземпляры CEP и CES с проверкой подлинности имени пользователя и пароля. Make sure that you do not select the “Enable Key-Based Renewal” option if you configure both CEP and CES instances of username and password authentication.

    Метод 2 Method 2

    Для установки экземпляров CEP и CES можно использовать следующие командлеты PowerShell: You can use the following PowerShell cmdlets to install the CEP and CES instances:

    Эта команда устанавливает веб-служба политик регистрации сертификатов (CEP), указывая, что для проверки подлинности используется имя пользователя и пароль. This command installs the Certificate Enrollment Policy Web Service (CEP) by specifying that a username and password is used for authentication.

    В этой команде — это отпечаток сертификата, который будет использоваться для привязки служб IIS. In this command, is the thumbprint of the certificate that will be used to bind IIS.

    Эта команда устанавливает веб-служба регистрации сертификатов (CES), чтобы использовать центр сертификации для имени компьютера CA1.contoso.com и общего имени ЦС contoso-CA1-CA. This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA. Удостоверение CES указывается в качестве удостоверения пула приложений по умолчанию. The identity of the CES is specified as the default application pool identity. Тип проверки подлинности — username. The authentication type is username. Сслцертсумбпринт — это отпечаток сертификата, который будет использоваться для привязки служб IIS. SSLCertThumbPrint is the thumbprint of the certificate that will be used to bind IIS.

    Шаг 2. Проверка консоли диспетчера службы IIS (IIS) Step 2 Check the Internet Information Services (IIS) Manager console

    После успешной установки вы увидите, что в консоли диспетчера службы IIS (IIS) отображается следующее. After a successful installation, you expect to see the following display in the Internet Information Services (IIS) Manager console.

    В разделе веб-сайт по умолчаниювыберите ADPolicyProvider_CEP_UsernamePassword, а затем откройте Параметры приложения. Under Default Web Site, select ADPolicyProvider_CEP_UsernamePassword, and then open Application Settings. Запишите идентификатор и URI. Note the ID and the URI.

    Можно добавить понятное имя для управления. You can add a Friendly Name for management.

    Настройка экземпляра CEPCES02 Configure the CEPCES02 instance

    Шаг 1. Установите CEP и CES для продления на том же сервере. Step 1: Install the CEP and CES for key-based renewal on the same server.

    Выполните следующую команду в PowerShell: Run the following command in PowerShell:

    Эта команда устанавливает веб-служба политик регистрации сертификатов (CEP) и указывает, что для проверки подлинности используется сертификат. This command installs the Certificate Enrollment Policy Web Service (CEP) and specifies that a certificate is used for authentication.

    В этой команде — это отпечаток сертификата, который будет использоваться для привязки служб IIS. In this command, is the thumbprint of the certificate that will be used to bind IIS.

    Продление на основе ключей позволяет клиентам сертификатов обновлять свои сертификаты, используя ключ существующего сертификата для проверки подлинности. Key-based renewal lets certificate clients renew their certificates by using the key of their existing certificate for authentication. При использовании режима обновления на основе ключей служба возвращает только шаблоны сертификатов, настроенные для продления на основе ключей. When in key-based renewal mode, the service will return only certificate templates that are set for key-based renewal.

    Эта команда устанавливает веб-служба регистрации сертификатов (CES), чтобы использовать центр сертификации для имени компьютера CA1.contoso.com и общего имени ЦС contoso-CA1-CA. This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA.

    В этой команде удостоверение веб-служба регистрации сертификатов указывается в качестве учетной записи службы цепцессвк . In this command, the identity of the Certificate Enrollment Web Service is specified as the cepcessvc service account. Тип проверки подлинности — Certificate. The authentication type is certificate. Сслцертсумбпринт — это отпечаток сертификата, который будет использоваться для привязки служб IIS. SSLCertThumbPrint is the thumbprint of the certificate that will be used to bind IIS.

    Командлет реневалонли позволяет выполнить команду CES в режиме только обновления. The RenewalOnly cmdlet lets CES run in renewal only mode. Командлет алловкэйбаседреневал также указывает, что CES будет принимать запросы продления на основе ключей для сервера регистрации. The AllowKeyBasedRenewal cmdlet also specifies that the CES will accept key based renewal requests for the enrollment server. Это допустимые сертификаты клиента для проверки подлинности, которые не сопоставлены с субъектом безопасности напрямую. These are valid client certificates for authentication that do not directly map to a security principal.

    Учетная запись службы должна входить в группу иисусерс на сервере. The service account must be part of IISUsers group on the server.

    Шаг 2. Проверка консоли диспетчера IIS Step 2 Check the IIS Manager console

    После успешной установки вы увидите, что в консоли диспетчера IIS отображается следующее. After a successful installation, you expect to see the following display in the IIS Manager console.

    Выберите KeyBasedRenewal_ADPolicyProvider_CEP_Certificate в разделе веб-сайт по умолчанию и откройте Параметры приложения. Select KeyBasedRenewal_ADPolicyProvider_CEP_Certificate under Default Web Site and open Application Settings. Запишите идентификатор и URI. Take a note of the ID and the URI. Можно добавить понятное имя для управления. You can add a Friendly Name for management.

    Если экземпляр установлен на новом сервере, проверьте его идентификатор, чтобы убедиться, что он совпадает с ИДЕНТИФИКАТОРом, созданным в экземпляре CEPCES01. If the instance is installed on a new server double check the ID to make sure that the ID is the same one that was generated in the CEPCES01 instance. Можно скопировать и вставить значение напрямую, если оно отличается. You can copy and paste the value directly if it is different.

    Завершение настройки веб-служб регистрации сертификатов Complete Certificate Enrollment Web Services configuration

    Чтобы иметь возможность зарегистрировать сертификат от имени функций CEP и CES, необходимо настроить учетную запись компьютера рабочей группы в Active Directory а затем настроить ограниченное делегирование для учетной записи службы. To be able to enroll the certificate on behalf of the functionality of CEP and CES, you have to configure the workgroup’s computer account in Active Directory and then configure constrained delegation on the service account.

    Шаг 1. Создание учетной записи компьютера рабочей группы в Active Directory Step 1: Create a computer account of the workgroup computer in Active Directory

    Эта учетная запись будет использоваться для проверки подлинности при обновлении на основе ключа и параметра «опубликовать в Active Directory» в шаблоне сертификата. This account will be used for authentication towards key-based renewal and the “Publish to Active Directory” option on the certificate template.

    Не нужно присоединяться к домену на клиентском компьютере. You do not have to domain join the client machine. Эта учетная запись поступает в изображение при выполнении проверки подлинности на основе сертификатов в КБР для службы дсмаппер. This account comes into picture while doing certificate based authentication in KBR for dsmapper service.

    Шаг 2. Настройка учетной записи службы для ограниченного делегирования (S4U2Self) Step 2: Configure the service account for Constrained Delegation (S4U2Self)

    Выполните следующую команду PowerShell, чтобы включить ограниченное делегирование (S4U2Self или любой протокол проверки подлинности): Run the following PowerShell command to enable constrained delegation (S4U2Self or any authentication protocol):

    В этой команде является учетной записью службы, а — центром сертификации. In this command, is the service account, and is the Certification Authority.

    В этой конфигурации не включен флаг РЕНЕВАЛОНБЕХАЛОФ в ЦС, так как мы используем ограниченное делегирование для того же задания. We are not enabling the RENEWALONBEHALOF flag on the CA in this configuration because we are using constrained delegation to do the same job for us. Это позволяет избежать добавления разрешения для учетной записи службы в систему безопасности ЦС. This lets us to avoid adding the permission for the service account to the CA’s security.

    Шаг 3. Настройка пользовательского порта на веб-сервере IIS Step 3: Configure a custom port on the IIS web server

    В консоли диспетчера IIS выберите веб-сайт по умолчанию. In the IIS Manager console, select Default Web Site.

    В области Действие выберите Изменить привязку сайта. In the action pane, select Edit Site Binding.

    Измените значение параметра порта по умолчанию с 443 на пользовательский порт. Change the default port setting from 443 to your custom port. На снимке экрана примера показан параметр порта 49999. The example screenshot shows a port setting of 49999.

    Шаг 4. изменение объекта служб регистрации ЦС на Active Directory Step 4: Edit the CA enrollment services Object on Active Directory

    На контроллере домена откройте ADSIEdit. msc. On a domain controller, open adsiedit.msc.

    Подключитесь к разделу конфигурациии перейдите к объекту службы регистрации ЦС: Connect to the Configuration partition, and navigate to your CA enrollment services object:

    CN = ЕНТКА, CN = службы регистрации, CN = открытые ключи Services, CN = Services, CN = Configuration, DC = contoso, DC = com CN=ENTCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com

    Щелкните правой кнопкой мыши и измените объект CA. Right click and edit the CA Object. Измените атрибут мспки-регистрации-Servers , используя пользовательский порт с URI сервера CEP и CES, которые были найдены в параметрах приложения. Change the msPKI-Enrollment-Servers attribute by using the custom port with your CEP and CES server URIs that were found in the application settings. Пример For example:

    Настройка клиентского компьютера Configure the client computer

    На клиентском компьютере настройте политики регистрации и политику автоматической регистрации. On the client computer, set up the Enrollment policies and Auto-Enrollment policy. Для этого выполните следующие действия: To do this, follow these steps:

    Выберите пуск > выполнить, а затем введите gpedit. msc. Select Start > Run, and then enter gpedit.msc.

    Последовательно выберите Конфигурация компьютера > Параметры Windows > Параметры безопасности, а затем щелкните политики открытого ключа. Go to Computer Configuration > Windows Settings > Security Settings, and then click Public Key Policies.

    Включите политику автоматической регистрации клиента служб сертификатов для соответствия параметрам на следующем снимке экрана. Enable the Certificate Services Client — Auto-Enrollment policy to match the settings in the following screenshot. ](media/certificate-enrollment-certificate-key-based-renewal-9.png) групповой политики ![сертификатов

    Включите политику регистрации сертификатов клиента служб сертификатов. Enable Certificate Services Client — Certificate Enrollment Policy.

    а) a. Нажмите кнопку Добавить , чтобы добавить политику регистрации и ввести идентификатор URI CEP с UserNamePassword , который мы редактировали в ADSI. Click Add to add enrollment policy and enter the CEP URI with UsernamePassword that we edited in ADSI.

    б. b. В качестве типа проверки подлинностивыберите имя пользователя и пароль. For Authentication type, select Username/password.

    в. c. Задайте приоритет 10, а затем проверьте сервер политики. Set a priority of 10, and then validate the policy server. ](media/certificate-enrollment-certificate-key-based-renewal-10.png) политики регистрации ![

    Убедитесь, что номер порта добавлен в URI и разрешен в брандмауэре. Make sure that the port number is added to the URI and is allowed on the firewall.

    Зарегистрируйте первый сертификат для компьютера с помощью certlm. msc. Enroll the first certificate for the computer through certlm.msc. ](media/certificate-enrollment-certificate-key-based-renewal-11.png) политики регистрации ![

    Выберите шаблон КБР и зарегистрируйте сертификат. Select the KBR template and enroll the certificate. ](media/certificate-enrollment-certificate-key-based-renewal-12.png) политики регистрации ![

    Снова откройте gpedit. msc . Open gpedit.msc again. Измените политику регистрации сертификатов клиента служб сертификатов, а затем добавьте политику регистрации продления на основе ключей. Edit the Certificate Services Client – Certificate Enrollment Policy, and then add the key-based renewal enrollment policy:

    а) a. Нажмите кнопку Добавить, введите URI CEP с сертификатом , измененным в ADSI. Click Add, enter the CEP URI with Certificate that we edited in ADSI.

    б. b. Задайте приоритет 1, а затем проверьте сервер политики. Set a priority of 1, and then validate the policy server. Вам будет предложено выполнить аутентификацию и выбрать сертификат, который был зарегистрирован изначально. You will be prompted to authenticate and choose the certificate we enrolled initially.

    Убедитесь, что значение приоритета политики регистрации продления на основе ключей ниже приоритета политики регистрации паролей для имени пользователя. Make sure that the priority value of the key-based renewal enrollment policy is lower than the priority of the Username Password enrollment policy priority. Первая предпочтение присваивается наименьшему приоритету. The first preference is given to the lowest priority.

    Тестирование установки Testing the setup

    Чтобы обеспечить работоспособность автоматического продления, убедитесь, что обновление вручную выполняется путем продления сертификата с тем же ключом с помощью MMC. To make sure that Auto-Renewal is working, verify that manual renewal works by renewing the certificate with the same key using mmc. Кроме того, во время обновления вам будет предложено выбрать сертификат. Also, you should be prompted to select a certificate while renewing. Вы можете выбрать сертификат, который мы зарегистрировали ранее. You can choose the certificate we enrolled earlier. Ожидается запрос. The prompt is expected.

    Откройте личное хранилище сертификатов компьютера и добавьте представление «архивные сертификаты». Open the computer personal certificate store, and add the “archived certificates” view. Для этого добавьте оснастку учетной записи локального компьютера в MMC. exe, выделите Сертификаты (локальный компьютер) , щелкнув его, щелкните Просмотр на вкладке действие справа или в верхней части консоли MMC, щелкните Просмотр параметров, выберите архивные сертификаты, а затем нажмите кнопку ОК. To do this, add the local computer account snap-in to mmc.exe, highlight Certificates (Local Computer) by clicking on it, click view from the action tab at the right or the top of mmc, click view options, select Archived certificates, and then click OK.

    Метод 1 Method 1

    Выполните следующую команду. Run the following command:

    Метод 2 Method 2

    Передайте время и дату на клиентском компьютере в момент продления шаблона сертификата. Advance the time and date on the client machine into the renewal time of the certificate template.

    Например, шаблон сертификата имеет срок действия в 2 дня и настроенный 8-часовой параметр обновления. For example, the certificate template has a 2-day validity setting and an 8-hour renewal setting configured. Пример сертификата был выпущен в 4:00 утра. The example certificate was issued at 4:00 A.M. в течение 18 дней месяца срок действия истекает в 4:00 утра. on 18th day of the month, expires at 4:00 A.M. на 20. on the 20th. Подсистема автоматической регистрации активируется при перезапуске и каждые 8 часов (приблизительно). The Auto-Enrollment engine is triggered on restart and at every 8-hour interval (approximately).

    Таким образом, если вы перейдете время на 8:10 P.M. Therefore, if you advance the time to 8:10 P.M. на 19-часовом уровне, так как для нашего продленного периода в шаблоне задано значение 8, выполнение команды certutil-Pulse (для активации подсистемы AE) регистрирует сертификат автоматически. on the 19th since our renewal window was set to 8-hour on the template, running Certutil -pulse (to trigger the AE engine) enrolls the certificate for you.

    После завершения теста верните параметр времени в исходное значение, а затем перезапустите клиентский компьютер. After the test finishes, revert the time setting to the original value, and then restart the client computer.

    На предыдущем снимке экрана приведен пример, демонстрирующий, что механизм автоматической регистрации работает должным образом, поскольку для даты ЦС по-прежнему устанавливается значение 18. The previous screenshot is an example to demonstrate that the Auto-Enrollment engine works as expected because the CA date is still set to the 18th. Таким образом, он будет продолжать выдавать сертификаты. Therefore, it continues to issue certificates. В реальной ситуации не произойдет такого большого количества продлений. In a real-life situation, this large amount of renewals will not occur.

    источник

    Читайте также:  Установка крепления для оптического прицела

    Добавить комментарий

    Adblock
    detector