Как установить сертификат контур экстерн на другой компьютер


Перенос Контур Экстерн на другой компьютер

Для переноса системы Контур.Экстерн на другое рабочее место необходимо:

  1. Скопировать сертификаты на любой съемный носитель, если они установлены в реестре компьютера.
  2. Если используете для работы программу Контур.Экстерн Лайт или Контур.Архив — необходимо перенести настройки и базу переданных документов.
  3. Установить систему Контур.Экстерн и компоненты на новый компьютер с помощью веб-диска.
  4. Установить сертификаты на новом компьютере.
1. Копирование сертификатов

Если ключи электронной подписи (ЭП) на старом рабочем месте были установлены в Реестр, необходимо скопировать их на любой съемный носитель. Для этого выполните следующие действия:

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата. 

Если на компьютере установлено несколько сертификатов — повторите п.3-6 для каждого сертификата.

Здесь вы можете выбрать другой способ копирования сертификатов.

Если все ключи ЭП находятся на съемных носителях — перейдите к п.2.

2. Перенос программы Контур.Экстерн Лайт и Контур.Архив

Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов с одного рабочего места на другое. Если не используете — перейдите к следующему пункту.

Чтобы перенести Контур.Экстерн Лайт, необходимо cкопировать с прежнего рабочего места файлы настроек и базы данных и поместить их в соответствующий каталог на новом рабочем месте:

ВНИМАНИЕ! При совершении каких-либо действий с файлом RSBASE, помните, что не рекомендуется удалять или перемещать его из директории, если Вы не уверены в необходимости этих действий. В данном файле хранятся все настройки и база данных переданных ранее документов.При переносе файла с одного компьютера на другой, рекомендуется использовать функцию копирования файла.После этого установите Контур.Экстерн Лайт с помощью установочного диска на желаемое рабочее место.

Для переноса Контур.Архива с базой данный на другой компьютер воспользуйтесь инструкцией.

3. Установка системы Контур.Экстерн на новый компьютер

Откройте веб-диск по ссылке. При первом входе может появиться сообщение о необходимости установить утилиту AddToTrusted (либо Kontur-Install-KEKEP, при использовании браузера, отличного от Internet Explorer). Данная утилита добавит необходимые домены в надежные узлы, а также настроит для них параметры безопасности. Необходимо нажать кнопку «Скачать файл настройки» и установить утилиту.

В появившемся внизу окна сообщении нажмите кнопку «Выполнить». Также утилиту можно сохранить в любой каталог и запустить файл AddToTrusted_User.exe.

После завершения установки утилиты закройте все окна обозревателя и зайдите на веб-диск. 

Если при входе на веб-диск не предлагается установить / обновить какие-либо компоненты, то перейдите к запросу / установке личного сертификата.

В открывшемся окне нажмите кнопку «Далее» и дождитесь окончания процесса. При необходимости смените тип установки, для этого нажмите на ссылку «Сменить тип установки» в верхней части страницы.

Для полной установки системы нажмите на кнопку «Установить».

При использовании веб-диска происходит автоматическая проверка уже установленных на рабочем месте компонент. После нажатия на кнопку «Установить» будут установлены только недостающие для корректной работы компоненты. Данный способ установки является рекомендуемым.

Также можете воспользоваться выборочной установкой компонент (не рекомендуется). Для этого нажмите на ссылку «Выбрать компоненты для установки», отметьте необходимые компоненты и нажмите кнопку «Начать установку».

Дождитесь окончания процесса установки. После этого перезапустите браузер (при необходимости — перезагрузите компьютер) и снова откройте веб-диск.

Нажмите кнопку «Далее», дождитесь окончания процесса. Отобразится окно установки и запроса сертификатов.

  • Для запроса нового сертификата, нажмите кнопку «Получить в личном кабинете».
  • Если сертификат находится на Рутокене, подключите ключевой носитель к компьютеру и нажмите на кнопку «Установить с рутокена». Если сертификат находится на другом носителе — перейдите к п.4.
4. Установка сертификата

Для проверки установленного сертификата или воспользуйтесь ярлыком «Экстерн». Он появится на рабочем столе после установки компонентов.

Если при входе в сервис появляется сообщение что сертификат не установлен, или сертификат находится на флэшке — установите сертификат вручную по инструкции.

Перенос системы Контур.Экстерн на другой компьютер. Настройка дополнительного рабочего места

Главная / Вопрос-Ответ / Перенос системы Контур.Экстерн на другой компьютер. Настройка дополнительного рабочего места

Для первичной установки системы Контур.Экстерн, воспользуйтесь инструкцией по ссылке.​

Для переноса системы Контур.Экстерн на другое рабочее место необходимо:

 

1. Скопировать сертификаты на любой съемный носитель, если они установлены в реестре компьютера.

2. Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов.

3. Установить систему Контур.Экстерн и компоненты на новый компьютер с помощью веб-диска.

4. Установить сертификаты на новом компьютере.

 
1. Копирование сертификатов

 

Если ключи электронной подписи (ЭП) на старом рабочем месте были установлены в Реестр, необходимо скопировать их на любой съемный носитель. Для этого выполните следующие действия:

 

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

 

 

Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».

 

 

Введите пароль и нажмите на кнопку «Далее».

 

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

 

 

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

 

 

6. Должно появиться сообщение об успешном копировании сертификата.

 

 

Если на компьютере установлено несколько сертификатов — повторите п.3-6 для каждого сертификата.

Здесь вы можете выбрать другой способ копирования сертификатов.

 

Если все ключи ЭП находятся на съемных носителях — перейдите к п.2.

 

2. Перенос программы Контур.Экстерн Лайт

 

Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов с одного рабочего места на другое. Если не используете — перейдите к следующему пункту.

 

Чтобы перенести Контур.Экстерн Лайт, необходимо cкопировать с прежнего рабочего места файлы настроек и базы данных и поместить их в соответствующий каталог на новом рабочем месте:

 

 

ВНИМАНИЕ! При совершении каких-либо действий с файлом RSBASE, помните, что не рекомендуется удалять или перемещать его из директории, если Вы не уверены в необходимости этих действий. В данном файле хранятся все настройки и база данных переданных ранее документов.При переносе файла с одного компьютера на другой, рекомендуется использовать функцию копирования файла.После этого установите Контур.Экстерн Лайт с помощью установочного диска на желаемое рабочее место.

 
3. Установка системы Контур.Экстерн на новый компьютер

 

Откройте веб-диск по ссылке. При первом входе может появиться сообщение о необходимости установить утилиту AddToTrusted (либо Kontur-Install-KEKEP, при использовании браузера, отличного от Internet Explorer). Данная утилита добавит необходимые домены в надежные узлы, а также настроит для них параметры безопасности. Необходимо нажать кнопку «Скачать файл настройки» и установить утилиту.

 

 

В появившемся внизу окна сообщении нажмите кнопку «Выполнить». Также утилиту можно сохранить в любой каталог и запустить файл AddToTrusted_User.exe.

 

 

После завершения установки утилиты закройте все окна обозревателя и зайдите на веб-диск.

 

Если при входе на веб-диск не предлагается установить / обновить какие-либо компоненты, то перейдите к запросу / установке личного сертификата.

 

В открывшемся окне нажмите кнопку «Далее» и дождитесь окончания процесса. При необходимости смените тип установки, для этого нажмите на ссылку «Сменить тип установки» в верхней части страницы.

 

 

Для полной установки системы нажмите на кнопку «Установить».

 

 

При использовании веб-диска происходит автоматическая проверка уже установленных на рабочем месте компонент. После нажатия на кнопку «Установить» будут установлены только недостающие для корректной работы компоненты. Данный способ установки является рекомендуемым.

 

 

Также можете воспользоваться выборочной установкой компонент (не рекомендуется). Для этого нажмите на ссылку «Выбрать компоненты для установки», отметьте необходимые компоненты и нажмите кнопку «Начать установку».

 

Дождитесь окончания процесса установки. После этого перезапустите браузер (при необходимости — перезагрузите компьютер) и снова откройте веб-диск.

 

Нажмите кнопку «Далее», дождитесь окончания процесса. Отобразится окно установки и запроса сертификатов.

 

 

  • Для запроса нового сертификата, нажмите кнопку «Получить в личном кабинете».
  • Если сертификат находится на Рутокене, подключите ключевой носитель к компьютеру и нажмите на кнопку «Установить с рутокена». Если сертификат находится на другом носителе - перейдите к п.4.
 
4. Установка сертификата

 

Для проверки установленного сертификата или воспользуйтесь ярлыком «Экстерн». Он появится на рабочем столе после установки компонентов.

 

Если при входе в сервис появляется сообщение что сертификат не установлен, или сертификат находится на флэшке - установите сертификат вручную по инструкции.

 

Как установить личный сертификат? — Удостоверяющий центр СКБ Контур

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.

5. В окне Сертификат для просмотра нажмите кнопку Установить:

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

7. Дождитесь сообщения об успешной установке:

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу [email protected]

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово:


9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Как скопировать контейнер? — Удостоверяющий центр СКБ Контур

В случае, если для работы используется flash-накопитель или дискета, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата, если он есть) необходимо поместить в корень flash-накопителя (дискеты). Название папки при копировании рекомендуется не изменять. 

Папка с закрытым ключом должна содержать 6 файлов с расширением.key. Ниже приведен пример содержимого такой папки.

Копирование контейнера также может быть выполнено с помощью криптопровайдера КриптоПро CSP. Для этого необходимо выполнить следующие шаги:

1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать. (см. рис. 1).

Рис. 1. Окно «Свойства КриптоПро CSP»

3. В окне Копирование контейнера закрытого ключа нажать на кнопку Обзор (см. рис. 2).

Рис. 2. Копирование контейнера закрытого ключа

4. Выбрать контейнер из списка, кликнуть по кнопке Ок, затем Далее.

5. Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать Готово (см. рис. 3).

Рис. 3. Имя ключевого контейнера

6. В окне «Вставьте и выберите носитель для хранения контейнера закрытого ключа» необходимо выбрать носитель, на который будет помещен новый контейнер (см. рис. 4).

Рис. 4. Выбор чистого ключевого носителя

7. На новый контейнер будет предложено установить пароль. Установка пароля не является обязательной, можно оставить поле пустым и нажать на кнопку Ок (см. рис. 5).

Рис. 5. Установка пароля на контейнер

Если копирование выполняется на носитель Rutoken, сообщение будет звучать иначе (см. рис. 6)

Рис. 6. Pin-код для контейнера

Рекомендуется указать стандартный pin-код (12345678)

Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.

8. После выполнения копирования система вернется на вкладку Сервис в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы в системе «Контур-Экстерн» новый ключевой контейнер, необходимо установить личный сертификат (см. Как установить личный сертификат?).

Для массового копирования скачайте и запустите утилиту Certfix. 

  1. После запуска дождитесь загрузки всего списка контейнеров\сертификатов.
  2. Отметьте нужные контейнеры галочками.
  3. Нажмите на меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров»
  4. Выберите носитель для хранения копии контейнера и нажмите на ОК
  5. При копировании в реестр можно поставить галочку на пункте «Копировать в ключевой контейнер компьютера» — после копирования контейнер будет доступен всем пользователям данного компьютера.
  6. После копирования нажмите внизу слева кнопку Обновить
  7. Если хотите работать со скопированными контейнерами — необходимо установить сертификаты. Сделать это можно массово по кнопке «Импорт в хранилище личных».

Перенос системы ЦентрИнформ на другое рабочее место


Перенос системы ЦентрИнформ на другое рабочее место

Для переноса системы Контур.Экстерн на другое рабочее место необходимо:

  • Скопировать сертификаты на любой съемный носитель, если они установлены в реестре компьютера;
  • Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов;
  • Установить систему Контур.Экстерн и компоненты на новый компьютер с помощью веб-диска;
  • Установить сертификаты на новом компьютере.

Копирование сертификатов

  1. На старом рабочем месте проверьте на каком носители содержатся ключи электронной подписи. Для этого запустите программу КриптоПро CSP. (Пуск – Панель управления – КриптоПро CSP). Перейдите в закладку «Сервис», нажмите на кнопку «Просмотреть сертификаты в контейнере», нажмите «Обзор». В открывшемся окне проверьте, что указано в столбце «Считыватель».
  2. Если ключи электронной подписи на старом рабочем месте установлены в «Реестр», необходимо скопировать их на любой съемный носитель. Для корректной работы в системе на новом рабочем месте вам необходимо скопировать все контейнеры с сертификатами. Для этого выполните действия по нашей инструкции.
  3. Если все ключи находятся на съемных носителях пропустите шаг «Копирование сертификатов».

Перенос программы Контур.Экстерн Лайт

Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов с одного рабочего места на другое. Если не используете — пропустите данный шаг. Для переноса программы Контур.Экстерн Лайт выполните следующие действия:

  1. Скопируйте со старого рабочего места файлы настроек и базы данных программы. В таблице ниже указано название файла для копирования и каталог, в котором он лежит, в зависимости от операционной системы.
  2. При совершении каких-либо действий с файлом RSBASE, помните, что не рекомендуется удалять или перемещать его из директории, если вы не уверены в необходимости этих действий. В данном файле хранятся все настройки и база данных переданных ранее документов. При переносе файла с одного компьютера на другой, рекомендуется использовать функцию копирования файла.
  3. Установите KELite-5.8.2.msi (нажмите здесь, чтобы скачать) на новом рабочем месте
  4. Поместите файлы настроек и базы данных программы в соответствующий каталог из таблицы.

Установка системы на новое рабочее место

Для установки системы рекомендуется использовать веб-диск. С помощью веб-диска устанавливаются только актуальные компоненты, необходимые для корректной работы. Для установки необходимы права администратора.

Установка сертификатов

Для корректной работы в системе сдачи отчетности установите все сертификаты организации (действующие и истёкшие) со съёмного диска по нашей инструкции.

Система успешно установлена.

Для начала работы воспользуйтесь ярлыком «ЦентрИнформ» на рабочем столе.


Как скопировать контейнер с сертификатом на другой носитель?

Копирование средствами Windows

 

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата - открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять. 

 

В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа - папки с шестью файлами и открытого ключа - файла с расширением.cer.

 

 

Закрытый ключ

 

Открытый ключ

 

Копирование на профиле Диагностики

 

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

 

 

Если на контейнер был задан пароль - появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат».

 

 

Введите пароль и нажмите на кнопку «Далее».

 

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

 

 

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

 

 

6. Должно появиться сообщение об успешном копировании сертификата.

 

 

Массовое копирование

 

  1. Скачайте и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочками.
  2. Выберите меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров».

 

 

3. Выберите носитель для хранения копии контейнера и нажмите «ОК». При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.

 

 

4. После копирования нажмите внизу слева кнопку «Обновить».


Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

 

Копирование с помощью КриптоПро CSP

 

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис»и кликните по кнопке «Скопировать».

 

 

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

 

 

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода пин-кода, в котором следует указать стандартный pin-код - 12345678.

 

 

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

 

 

В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.

 

 

На новый контейнер будет предложено установить пароль. Устанавливать пароль необязательно, можете оставить поле пустым и нажать на кнопку «Ок». В случае утери пароля/pin-кода использование контейнера станет невозможным.

 

 

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. Укажите стандартный pin-код - 12345678.

 

 

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер,  установите его через Крипто Про.

 

Как перенести центр сертификации на другой сервер - Windows Server

  • 10 минут на чтение

В этой статье

В этой статье описывается, как переместить центр сертификации (ЦС) на другой сервер.

Исходная версия продукта: Windows Server 2003
Оригинальный номер базы знаний: 298138

Примечание

Эта статья относится к Windows 2000.Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений по окончании поддержки Windows 2000 - это отправная точка для планирования стратегии перехода с Windows 2000. Дополнительные сведения см. В политике жизненного цикла поддержки Microsoft.

Сводка

Центры сертификации (CA) являются центральным компонентом инфраструктуры открытых ключей (PKI) организации. Центры сертификации настроены на существование в течение многих лет или десятилетий, в течение которых оборудование, на котором размещен центр сертификации, вероятно, будет обновлено.

Чтобы переместить центр сертификации с сервера под управлением Windows 2000 Server на сервер под управлением Windows Server 2003, необходимо сначала обновить сервер CA под управлением Windows 2000 Server до Windows Server 2003. Затем вы можете выполнить следующие действия. изложено в этой статье.

Убедитесь, что% Systemroot% целевого сервера совпадает с% Systemroot% сервера, с которого создается резервная копия состояния системы.

Вы должны изменить путь к файлам CA при установке компонентов сервера CA, чтобы они соответствовали расположению резервной копии.Например, если вы выполняете резервное копирование из папки D: \ Winnt \ System32 \ Certlog, вы должны восстановить резервную копию в папку D: \ Winnt \ System32 \ Certlog. Вы не можете восстановить резервную копию в папку C: \ Winnt \ System32 \ Certlog. После восстановления из резервной копии вы можете переместить файлы базы данных CA в расположение по умолчанию.

Если вы попытаетесь восстановить резервную копию, а% Systemroot% резервной копии и целевого сервера не совпадают, вы можете получить следующее сообщение об ошибке:

Невозможно выполнить восстановление инкрементного образа, пока не будет выполнено восстановление из полного образа.Имя каталога недействительно. 0x8007010b (WIN32 / HTTP: 267)

При переносе служб сертификации из 32-разрядной операционной системы в 64-разрядную операционную систему или наоборот может произойти сбой с одним из следующих сообщений об ошибке:

Ожидаемые данные не существуют в этом каталоге.

Восстановление инкрементного образа не может быть выполнено до выполнения восстановления из полного образа 0x8007010b (WIN32 / HTTP: 267)

Изменение формата базы данных с 32-битной версии на 64-битную версию вызывает несовместимость, и восстановление блокируется.Это похоже на переход от Windows 2000 к Windows Server 2003 CA. Однако пути обновления с 32-разрядной версии Windows Server 2003 до 64-разрядной версии не существует. Следовательно, вы не можете переместить существующую 32-разрядную базу данных в 64-разрядную базу данных на компьютере под управлением Windows Server 2003. Однако вы можете выполнить обновление с ЦС Windows Server 2003 (работает на Windows Server 2003 x86) до Windows Server 2008 R2 CA (работает на Windows Server 2008 R2 x64). Это обновление поддерживается.

Версия Windows Server 2003 R2 CD2 на базе x64 обновляет только 64-разрядные версии Windows Server 2003, основанные на архитектуре EM64T или на архитектуре AMD64.

Резервное копирование и восстановление ключей центра сертификации и базы данных в Windows Server 2003

Важно

Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

  1. Обратите внимание на шаблоны сертификатов, которые настроены в папке Шаблоны сертификатов в оснастке центра сертификации. Настройки шаблонов сертификатов хранятся в Active Directory. Они не копируются автоматически. Вы должны вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы поддерживать тот же набор шаблонов.

    Примечание

    Папка шаблонов сертификатов существует только в ЦС предприятия. Автономные центры сертификации не используют шаблоны сертификатов.Таким образом, этот шаг не применяется к автономному ЦС.

  2. Используйте оснастку центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Резервное копирование ЦС , чтобы запустить мастер резервного копирования центра сертификации.
    2. Щелкните Далее , а затем щелкните Закрытый ключ и сертификат ЦС .
    3. Щелкните База данных сертификатов и журнал базы данных сертификатов .
    4. Используйте пустую папку в качестве хранилища резервных копий. Убедитесь, что новый сервер имеет доступ к папке резервного копирования.
    5. Щелкните Далее . Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
    6. Введите и подтвердите пароль для файла резервной копии закрытого ключа CA.
    7. Нажмите Далее , а затем проверьте настройки резервного копирования.Должны отображаться следующие настройки:
      • Закрытый ключ и сертификат ЦС
      • Выпущенный журнал и ожидающие запросы
    8. Нажмите Готово .
  3. Сохраните настройки реестра для этого CA. Для этого выполните следующие действия:

    1. Щелкните Start , щелкните Run , введите regedit в поле Open , а затем щелкните OK .
    2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration
    3. Щелкните Экспорт .
    4. Сохраните файл реестра в папке резервного копирования CA, которую вы определили на шаге 2d.
  4. Удалите службы сертификации со старого сервера.

    Примечание

    На этом шаге удаляются объекты из Active Directory. Не выполняйте этот шаг вне очереди. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для использования.

  5. Переименуйте старый сервер или навсегда отключите его от сети.

  6. Установите службы сертификации на новый сервер. Для этого выполните следующие действия.

    Примечание

    Новый сервер должен иметь то же имя компьютера, что и старый сервер.

    1. На Панели управления дважды щелкните Установка и удаление программ .
    2. Щелкните Добавить / удалить компоненты Windows , щелкните Службы сертификации в мастере компонентов Windows, а затем щелкните Далее .
    3. В диалоговом окне Тип CA щелкните соответствующий тип CA.
    4. Нажмите Использовать пользовательские настройки для создания пары ключей и сертификата CA , а затем нажмите Далее .
    5. Щелкните Импорт , введите путь к файлу .P12 в папке резервного копирования, введите пароль, который вы выбрали на шаге 2f, а затем щелкните ОК .
    6. В диалоговом окне Пара открытого и закрытого ключей убедитесь, что установлен флажок Использовать существующие ключи .
    7. Дважды щелкните Далее .
    8. Примите настройки базы данных сертификатов по умолчанию, нажмите Далее , а затем нажмите Завершить , чтобы завершить установку служб сертификации.
  7. Остановите службу сертификации.

  8. Найдите файл реестра, который вы сохранили на шаге 3, а затем дважды щелкните его, чтобы импортировать параметры реестра. Если путь, указанный в экспорте реестра из старого центра сертификации, отличается от нового пути, необходимо соответствующим образом настроить экспорт реестра. По умолчанию новый путь - C: \ Windows в Windows Server 2003.

  9. Воспользуйтесь оснасткой центра сертификации для восстановления базы данных ЦС.Для этого выполните следующие действия:

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Восстановить ЦС .

      Запустится мастер восстановления центра сертификации.

    2. Щелкните Далее , а затем щелкните Закрытый ключ и сертификат ЦС .

    3. Щелкните База данных сертификатов и журнал базы данных сертификатов .

    4. Введите расположение папки резервного копирования и нажмите Далее .

    5. Проверьте настройки резервного копирования. Журнал выдачи Должны быть отображены параметры и Ожидающие запросы .

    6. Нажмите Готово , а затем нажмите Да , чтобы перезапустить службы сертификации после восстановления базы данных ЦС.

    Вы можете получить следующую ошибку во время процесса восстановления ЦС, если папка резервной копии ЦС имеет неправильный формат структуры папок:

    ---------------------------
    Служба сертификации Microsoft
    ----------------- ----------

    Ожидаемые данные не существуют в этом каталоге.
    Выберите другой каталог. Имя каталога недействительно. 0x8007010b (WIN32 / HTTP: 267)

    Правильная структура папок следующая:

    • C: \ Ca_Backup \ CA_NAME.p12
    • C: \ Ca_Backup \ Database \ certbkxp.dat
    • C: \ Ca_Backup \ Database \ edb #####. Log
    • C: \ Ca_Backup \ Database \ CA_NAME.edb

    Где C: \ Ca_Backup - это папка, которую вы выбрали на этапе резервного копирования CA на шаге 2.

  10. В оснастке центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать настройки шаблонов сертификатов, которые вы отметили на шаге 1.

Резервное копирование и восстановление ключей центра сертификации и базы данных в Windows 2000 Server

Важно

Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема.Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

  1. Обратите внимание на шаблоны сертификатов, которые настроены в папке Шаблоны сертификатов в оснастке центра сертификации. Настройки шаблонов сертификатов хранятся в Active Directory. Они не копируются автоматически. Вы должны вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы поддерживать тот же набор шаблонов.

    Примечание

    Папка шаблонов сертификатов существует только в ЦС предприятия. Автономные центры сертификации не используют шаблоны сертификатов. Таким образом, этот шаг не применяется к автономному ЦС.

  2. Используйте оснастку центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Резервное копирование ЦС , чтобы запустить мастер резервного копирования центра сертификации.
    2. Щелкните Далее , а затем щелкните Закрытый ключ и сертификат ЦС .
    3. Щелкните Журнал выданных сертификатов и очередь ожидающих запросов на сертификат.
    4. Используйте пустую папку в качестве хранилища резервных копий. Убедитесь, что новый сервер имеет доступ к папке резервного копирования.
    5. Щелкните Далее . Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
    6. Введите и подтвердите пароль для файла резервной копии закрытого ключа CA.
    7. Дважды щелкните Далее , а затем проверьте настройки резервного копирования. Должны отображаться следующие настройки:
      • Закрытый ключ и сертификат ЦС
      • Выпущенный журнал и ожидающие запросы
    8. Нажмите Готово .
  3. Сохраните настройки реестра для этого CA. Для этого выполните следующие действия:

    1. Щелкните Start , щелкните Run , введите regedit в поле Open , а затем щелкните OK .
    2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration
    3. Щелкните Configuration , а затем щелкните Export Registry File в меню Registry .
    4. Сохраните файл реестра в папке резервного копирования CA, которую вы определили на шаге 2d.
  4. Удалите службы сертификации со старого сервера.

    Примечание

    На этом шаге удаляются объекты из Active Directory.Не выполняйте этот шаг вне очереди. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для использования.

  5. Переименуйте старый сервер или навсегда отключите его от сети.

  6. Установите службы сертификации на новый сервер. Для этого выполните следующие действия.

    Примечание

    Новый сервер должен иметь то же имя компьютера, что и старый сервер.

    1. На панели управления дважды щелкните «Установка и удаление программ».
    2. Щелкните Добавить / удалить компоненты Windows , щелкните Службы сертификации в мастере компонентов Windows, а затем щелкните Далее .
    3. В диалоговом окне Certification Authority Type щелкните соответствующий тип CA.
    4. Щелкните Дополнительные параметры , а затем щелкните Далее .
    5. В диалоговом окне Пара открытого и закрытого ключей щелкните Использовать существующие ключи , а затем щелкните Импорт .
    6. Введите путь к файлу .P12 в папке резервного копирования, введите пароль, который вы выбрали на шаге 2f, а затем нажмите OK .
    7. Щелкните Далее , введите описание CA, если необходимо, а затем щелкните Далее.
    8. Примите настройки места хранения данных по умолчанию, нажмите Далее , а затем нажмите Завершить , чтобы завершить установку служб сертификации.
  7. Остановите службу сертификации.

  8. Найдите файл реестра, который вы сохранили на шаге 3, а затем дважды щелкните его, чтобы импортировать параметры реестра.

  9. Воспользуйтесь оснасткой центра сертификации для восстановления базы данных ЦС. Для этого выполните следующие действия:

    1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Восстановить ЦС .

      Запустится мастер восстановления центра сертификации.

    2. Щелкните Далее , а затем щелкните Журнал выданных сертификатов и очередь ожидающих запросов на сертификат .

    3. Введите расположение папки резервного копирования и нажмите Далее .

    4. Проверьте настройки резервного копирования. Должны отображаться следующие настройки:

      • Протокол выдачи
      • Ожидающие запросы
    5. Нажмите Готово , а затем нажмите Да , чтобы перезапустить службы сертификации после восстановления базы данных ЦС.

  10. В оснастке центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать настройки шаблонов сертификатов, которые вы отметили на шаге 1.

Дополнительная информация

Дополнительные сведения о сценариях обновления и миграции для Windows Server 2003 и Windows Server 2008 см. В техническом документе «Руководство по обновлению и миграции служб сертификации Active Directory». Чтобы просмотреть технический документ, см. Руководство по обновлению и миграции служб сертификации Active Directory.

.

Как мне установить корневой сертификат Acunetix на другой компьютер?

Acunetix передает все свои данные через TLS / SSL между браузером и сервером. Следовательно, Acunetix использует центр сертификации, который является уникальным для каждой установки и создается во время установки.

Чтобы получить доступ к Acunetix с другого компьютера, после настройки с помощью этого руководства, если вы не решите использовать центр сертификации в масштабах всей организации, вам нужно будет добавить корневой сертификат Acunetix в хранилище доверенных корневых сертификатов вашей операционной системы.

Совет - Следующие инструкции относятся только к программам, которые используют хранилище сертификатов операционной системы. Некоторые программы могут использовать другие хранилища сертификатов. Если вы используете такие программы, вам нужно будет добавить этот сертификат CA и в другие хранилища сертификатов.

Если вы используете Firefox, вам нужно будет добавить корневой сертификат в хранилище сертификатов Firefox. См. Эту статью для получения дополнительной информации.

Расположение корневого сертификата Acunetix

Acunetix хранит уникальный созданный корневой сертификат в папке C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer . Это открытый ключ корневого сертификата Acuentix, и его следует скопировать на компьютер, с которого вы хотите получить доступ к Acunetix.

Окна

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, просто дважды щелкните файл сертификата. Появится диалоговое окно с информацией о сертификате.

Нажмите кнопку Установить сертификат ….Это запустит мастер импорта сертификатов .

Установите переключатель « Текущий пользователь » и нажмите « Далее».

Выберите «Поместить все сертификаты в следующее хранилище» с зависимой фиксацией , нажмите кнопку « Обзор …» и выберите хранилище Trusted Root Certification Authorities (второе в списке). Щелкните Далее .

Мастер предоставит вам сводку ваших действий, нажмите Готово , чтобы импортировать сертификат.

Windows (с использованием PowerShell)

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, откройте консоль PowerShell и введите следующую команду.

  Import-Certificate -FilePath " C: \ path \ to \ ca.cer " -CertStoreLocation "cert: \ CurrentUser \ Root" -Verbose  

Windows отобразит запрос с просьбой подтвердить установку сертификата.Щелкните Да , чтобы продолжить.

Linux (Ubuntu, Debian)

Совет - Если вы еще не вошли в систему как root , вам понадобится пользователь с привилегиями sudo .

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, переименуйте и переместите сертификат в / usr / local / share / ca -сертификаты / acunetix-ca.crt.

  sudo mv ca.cer /usr/local/share/ca-certificates/acunetix-ca.crt  

После перемещения сертификата вам нужно будет запустить update-ca-Certific , чтобы новый сертификат вступил в силу.

  sudo update-ca-сертификаты  

Linux (RHEL / CentOS 7)

Совет - Если вы еще не вошли в систему как root , вам понадобится пользователь с привилегиями sudo .

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, которому вы хотите получить доступ к Acunetix, установите пакет ca-сертификатов.

  sudo yum установить CA-сертификаты  

Включите функцию динамической конфигурации CA.

  sudo update-ca-trust force-enable  

Добавьте его как новый файл в / etc / pki / ca-trust / source / anchors / .

  sudo cp  ca.cer  /etc/pki/ca-trust/source/anchors/acunetix-ca.crt  

Обновите доверие CA.

  sudo update-ca-trust extract  

macOS

Совет - Вам понадобится пользователь с привилегиями sudo .

После того как вы скопировали C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, вы можете использовать команду security в Терминале для установки доверенного корня в Система вашего Mac.брелок .

  sudo security add-trust-cert -d -r trustRoot -k   /Library/Keychains/System.keychain  ca.cer   

Получайте последнюю информацию о веб-безопасности
в свой почтовый ящик каждую неделю.

АВТОР

Ян Маскат

Разработчики и технические агенты Acunetix регулярно вносят вклад в блог.Все разработчики Acunetix имеют многолетний опыт работы в сфере веб-безопасности. .

Настройка веб-службы регистрации сертификатов для продления на основе ключа сертификата на настраиваемом порту

  • 10 минут на чтение

В этой статье

Авторы: Джитеш Такур, Мира Мохидин, технические консультанты группы Windows. Анкит Тьяги, инженер службы поддержки Windows Group

Сводка

В этой статье представлены пошаговые инструкции по реализации веб-службы политики регистрации сертификатов (CEP) и веб-службы регистрации сертификатов (CES) на настраиваемом порту, отличном от 443, для обновления на основе ключа сертификата, чтобы воспользоваться преимуществами функции автоматического обновления. КЭП и ЕЭП.

В этой статье также объясняется, как работают CEP и CES, и даются рекомендации по настройке.

Примечание

Рабочий процесс, описанный в этой статье, применим к определенному сценарию. Один и тот же рабочий процесс может не работать в другой ситуации. Однако принципы остаются прежними.

Заявление об отказе от ответственности: эта настройка создана для конкретного требования, при котором вы не хотите использовать порт 443 для связи по умолчанию HTTPS для серверов CEP и CES. Хотя такая установка возможна, она имеет ограниченную поддержку.Служба поддержки и обслуживания клиентов может наилучшим образом помочь вам, если вы будете внимательно следовать этому руководству, используя минимальные отклонения от предоставленной конфигурации веб-сервера.

Сценарий

В этом примере инструкции основаны на среде, в которой используется следующая конфигурация:

  • Лес Contoso.com, в котором есть инфраструктура открытых ключей (PKI) служб сертификации Active Directory (AD CS).

  • Два экземпляра CEP / CES, настроенные на одном сервере, который работает под учетной записью службы.Один экземпляр использует имя пользователя и пароль для начальной регистрации. Другой использует аутентификацию на основе сертификатов для продления на основе ключей в режиме только продления.

  • У пользователя есть рабочая группа или компьютер, не входящий в домен, для которого он будет регистрировать сертификат компьютера, используя учетные данные имени пользователя и пароля.

  • Подключение пользователя к CEP и CES через HTTPS происходит через настраиваемый порт, например 49999. (Этот порт выбирается из динамического диапазона портов и не используется в качестве статического порта какой-либо другой службой.)

  • Когда срок действия сертификата подходит к концу, компьютер использует обновление на основе ключа CES на основе сертификата для обновления сертификата по тому же каналу.

Инструкции по настройке

Обзор

  1. Настройте шаблон для продления на основе ключа.

  2. В качестве предварительного условия настройте сервер CEP и CES для аутентификации по имени пользователя и паролю. В этой среде мы называем экземпляр «CEPCES01».

  3. Настройте другой экземпляр CEP и CES с помощью PowerShell для проверки подлинности на основе сертификата на том же сервере. Экземпляр CES будет использовать учетную запись службы.

    В этой среде мы называем экземпляр «CEPCES02». Используемый сервисный аккаунт - cepcessvc.

  4. Настройте параметры на стороне клиента.

Конфигурация

В этом разделе описаны действия по настройке начальной регистрации.

Примечание

Вы также можете настроить любую учетную запись службы пользователя, MSA или GMSA для работы CES.

В качестве предварительного условия необходимо настроить CEP и CES на сервере с использованием аутентификации по имени пользователя и паролю.

Настроить шаблон для продления на основе ключа

Вы можете продублировать существующий шаблон компьютера и настроить следующие параметры шаблона:

  1. На вкладке «Имя субъекта» в шаблоне сертификата убедитесь, что выбраны параметры « Поставка в запросе » и « Использовать информацию о субъекте из существующих сертификатов для запросов на продление автоматической регистрации».

  2. Перейдите на вкладку Issuance Requirements , а затем установите флажок CA Certificate Manager Approval .

  3. Назначьте разрешение Чтение и Регистрация учетной записи службы cepcessvc для этого шаблона.

  4. Опубликуйте новый шаблон в центре сертификации.

Настроить экземпляр CEPCES01
Шаг 1. Установите экземпляр

Чтобы установить экземпляр CEPCES01, используйте любой из следующих методов.

Метод 1

Пошаговые инструкции по включению CEP и CES для аутентификации имени пользователя и пароля см. В следующих статьях:

Руководство по веб-службам политики регистрации сертификатов

Руководство по веб-службе регистрации сертификатов

Примечание

Убедитесь, что вы не выбрали опцию «Включить продление на основе ключа», если вы настраиваете как CEP, так и CES экземпляры аутентификации по имени пользователя и паролю.

Метод 2

Для установки экземпляров CEP и CES можно использовать следующие командлеты PowerShell:

  Модуль импорта ServerManager Добавить-WindowsFeature Adcs-Enroll-Web-Pol Добавить-WindowsFeature Adcs-Enroll-Web-Svc  
  Install-AdcsEnrollmentPolicyWebService -AuthenticationType Имя пользователя -SSLCertThumbprint "sslCertThumbPrint"  

Эта команда устанавливает веб-службу политики регистрации сертификатов (CEP), указав, что для аутентификации используются имя пользователя и пароль.

Примечание

В этой команде < SSLCertThumbPrint > - это отпечаток сертификата, который будет использоваться для привязки IIS.

  Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig "CA1.contoso.com \ contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Имя пользователя  

Эта команда устанавливает веб-службу регистрации сертификатов (CES) для использования центра сертификации для имени компьютера CA1.contoso.com и общее имя CA contoso-CA1-CA . Идентификатор CES указан как идентификатор пула приложений по умолчанию. Тип аутентификации - , имя пользователя . SSLCertThumbPrint - это отпечаток сертификата, который будет использоваться для привязки IIS.

Шаг 2 Проверьте консоль диспетчера информационных служб Интернета (IIS)

После успешной установки вы ожидаете увидеть следующий экран в консоли диспетчера служб IIS.

В разделе Веб-сайт по умолчанию выберите ADPolicyProvider_CEP_UsernamePassword , а затем откройте Application Settings . Обратите внимание на ID и URI .

Вы можете добавить дружественное имя для управления.

Настроить экземпляр CEPCES02
Шаг 1. Установите CEP и CES для продления на основе ключа на одном сервере.

Выполните следующую команду в PowerShell:

  Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint "sslCertThumbPrint" -KeyBasedRenewal  

Эта команда устанавливает веб-службу политики регистрации сертификатов (CEP) и указывает, что сертификат используется для проверки подлинности.

Примечание

В этой команде - это отпечаток сертификата, который будет использоваться для привязки IIS.

Обновление на основе ключей позволяет клиентам сертификатов обновлять свои сертификаты, используя для аутентификации ключ их существующего сертификата. В режиме обновления на основе ключа служба будет возвращать только шаблоны сертификатов, которые настроены для обновления на основе ключа.

  Install-AdcsEnrollmentWebService -CAConfig "CA1.contoso.com \ contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Certificate -ServiceAccountName "Пользователь Contoso \ cepcessvc" -SassureAccount (пароль для чтения) -SassureAccount (пароль-чтение) RenewalOnly -AllowKeyBasedRenewal  

Эта команда устанавливает веб-службу регистрации сертификатов (CES) для использования центра сертификации для имени компьютера CA1.contoso.com и общее имя CA contoso-CA1-CA .

В этой команде удостоверение веб-службы регистрации сертификатов указано как учетная запись службы cepcessvc . Тип аутентификации - , сертификат . SSLCertThumbPrint - это отпечаток сертификата, который будет использоваться для привязки IIS.

Командлет RenewalOnly позволяет CES работать в режиме только обновления. Командлет AllowKeyBasedRenewal также указывает, что CES будет принимать запросы на обновление на основе ключей для сервера регистрации.Это действительные клиентские сертификаты для проверки подлинности, которые не отображаются напрямую на участника безопасности.

Примечание

Учетная запись службы должна входить в группу IISUsers на сервере.

Шаг 2 Проверьте консоль диспетчера IIS

После успешной установки вы ожидаете увидеть следующий экран в консоли диспетчера IIS.

Выберите KeyBasedRenewal_ADPolicyProvider_CEP_Certificate под веб-сайтом по умолчанию и откройте Параметры приложения .Обратите внимание на ID и URI . Вы можете добавить Friendly Name для управления.

Примечание

Если экземпляр установлен на новом сервере, дважды проверьте идентификатор, чтобы убедиться, что он тот же, что был создан в экземпляре CEPCES01. Вы можете скопировать и вставить значение напрямую, если оно отличается.

Полная конфигурация веб-служб регистрации сертификатов

Чтобы иметь возможность зарегистрировать сертификат от имени функциональности CEP и CES, вам необходимо настроить учетную запись компьютера рабочей группы в Active Directory, а затем настроить ограниченное делегирование для учетной записи службы.

Шаг 1. Создайте учетную запись компьютера рабочей группы в Active Directory

Эта учетная запись будет использоваться для аутентификации при обновлении на основе ключей и для параметра «Опубликовать в Active Directory» в шаблоне сертификата.

Примечание

Нет необходимости подключаться к домену на клиентском компьютере. Эта учетная запись появляется при выполнении аутентификации на основе сертификатов в KBR для службы dsmapper.

Шаг 2. Настройте учетную запись службы для ограниченного делегирования (S4U2Self)

Выполните следующую команду PowerShell, чтобы включить ограниченное делегирование (S4U2Self или любой протокол проверки подлинности):

  Get-ADUser -Identity cepcessvc | Set-ADAccountControl -TrustedToAuthForDelegation $ True Set-ADUser -Identity cepcessvc -Add @ {'msDS-AllowedToDelegateTo' = @ ('HOST / CA1.contoso.com ',' RPCSS / CA1.contoso.com ')}  

Примечание

В этой команде - это учетная запись службы, а - центр сертификации.

Важно

Мы не включаем флаг RENEWALONBEHALOF на CA в этой конфигурации, потому что мы используем ограниченное делегирование для выполнения той же работы за нас. Это позволяет нам избежать добавления разрешения для учетной записи службы в систему безопасности ЦС.

Шаг 3. Настройте пользовательский порт на веб-сервере IIS
  1. В консоли диспетчера IIS выберите Веб-сайт по умолчанию.

  2. На панели действий выберите Изменить привязку сайта.

  3. Измените настройку порта по умолчанию с 443 на свой собственный порт. На снимке экрана в качестве примера показано значение порта 49999.

Шаг 4. Измените объект служб регистрации CA в Active Directory
  1. На контроллере домена откройте файл adsiedit.msc.

  2. Подключитесь к разделу конфигурации и перейдите к объекту службы регистрации CA:

    CN = ENTCA, CN = Службы регистрации, CN = Службы открытых ключей, CN = Службы, CN = Конфигурация, DC = contoso, DC = com

  3. Щелкните правой кнопкой мыши и отредактируйте объект CA.Измените атрибут msPKI-Enrollment-Servers , используя настраиваемый порт с URI ваших серверов CEP и CES, которые были найдены в настройках приложения. Например:

      140 http://cepces.contoso.com: 49999 / ENTCA_CES_UsernamePassword / service.svc / CES0 181 http://cepces.contoso.com: 49999 / ENTCA_CES_Certificate / service.svc / CES1  

Настроить клиентский компьютер

На клиентском компьютере настройте политики регистрации и политику автоматической регистрации.Для этого выполните следующие действия:

  1. Выберите Start > Run , а затем введите gpedit.msc .

  2. Перейдите к Конфигурация компьютера > Параметры Windows > Параметры безопасности , а затем щелкните Политики открытого ключа .

  3. Включите клиент службы сертификации - политика автоматической регистрации , чтобы соответствовать настройкам на следующем снимке экрана.

  4. Включить Клиент службы сертификации - Политика регистрации сертификатов .

    а. Щелкните Добавить , чтобы добавить политику регистрации, и введите CEP URI с UsernamePassword , который мы отредактировали в ADSI.

    г. Для типа аутентификации выберите Имя пользователя / пароль .

    г. Установите приоритет 10 , а затем проверьте сервер политики.

    Примечание

    Убедитесь, что номер порта добавлен в URI и разрешен на брандмауэре.

  5. Зарегистрируйте первый сертификат для компьютера через certlm.msc.

    Выберите шаблон KBR и зарегистрируйте сертификат.

  6. Снова откройте gpedit.msc . Отредактируйте клиент службы сертификации - Политика регистрации сертификатов , а затем добавьте политику регистрации продления на основе ключей:

    а. Щелкните Добавить , введите CEP URI с сертификатом , который мы отредактировали в ADSI.

    г. Установите приоритет 1 , а затем проверьте сервер политики.Вам будет предложено пройти аутентификацию и выбрать сертификат, который мы зарегистрировали изначально.

Примечание

Убедитесь, что значение приоритета политики регистрации продления на основе ключа ниже, чем приоритет политики регистрации пароля пользователя. Первое предпочтение отдается самому низкому приоритету.

Тестирование установки

Чтобы убедиться, что автоматическое продление работает, убедитесь, что обновление работает вручную, обновив сертификат с тем же ключом с помощью mmc.Также вам будет предложено выбрать сертификат при продлении. Вы можете выбрать сертификат, который мы зачислили ранее. Ожидается подсказка.

Откройте хранилище личных сертификатов компьютера и добавьте представление «Архивные сертификаты». Для этого добавьте оснастку учетной записи локального компьютера в mmc.exe, выделите Certificates (Local Computer) , щелкнув по нему, щелкните view на вкладке действий справа или вверху mmc, щелкните просмотреть параметры , выбрать Архивные сертификаты , а затем нажать ОК .

Метод 1

Выполните следующую команду:

  certreq -machine -q -enroll -cert  обновить  

Метод 2

Переместите время и дату на клиентском компьютере во время обновления шаблона сертификата.

Например, для шаблона сертификата настроен 2-дневный срок действия и настроен 8-часовой период обновления. Образец сертификата был выдан в 4:00 утра. 18 числа месяца, истекает в 4:00 A.М. 20-го. Механизм автоматической регистрации запускается при перезапуске и каждые 8 ​​часов (приблизительно).

Следовательно, если вы увеличите время до 8:10 вечера. 19-го числа, так как наше окно обновления в шаблоне было установлено на 8 часов, запуск Certutil -pulse (для запуска механизма AE) зарегистрирует сертификат для вас.

После завершения теста верните настройку времени к исходному значению, а затем перезагрузите клиентский компьютер.

Примечание

Предыдущий снимок экрана является примером, демонстрирующим, что механизм автоматической регистрации работает должным образом, поскольку дата CA по-прежнему установлена ​​на 18-е число.Поэтому он продолжает выдавать сертификаты. В реальной жизни такого большого количества обновлений не произойдет.

Список литературы

Руководство лаборатории тестирования

: демонстрация продления сертификата на основе ключа

Веб-службы регистрации сертификатов

Install-AdcsEnrollmentPolicyWebService

Install-AdcsEnrollmentWebService

См. Также

Форум по безопасности Windows Server

Службы сертификации Active Directory (AD CS) Инфраструктура открытых ключей (PKI) Часто задаваемые вопросы (FAQ)

Справочник по документации и библиотеке PKI для Windows

Блог PKI для Windows

Как настроить ограниченное делегирование Kerberos (только S4U2Proxy или Kerberos) для пользовательской учетной записи службы для прокси-страниц веб-регистрации

.

Как вручную установить сертификат Securly SSL в Windows - Поддержка

Вам нужно будет установить сертификат Securly SSL на свой компьютер с Windows, чтобы Securly мог эффективно фильтровать все HTTPS-сайты, просматриваемые там.

Исполняемый файл и установочное видео, которые сокращают процесс, также доступны здесь.

Если вы хотите установить сертификат Securly SSL вручную, выполните следующие действия:

  1. Загрузите сертификат, прилагаемый в конце статьи.
  2. Щелкните правой кнопкой мыши «Пуск» и выберите «Выполнить».
  3. Введите «mmc» и нажмите «OK».
  4. На экране «Контроль учетных записей пользователей» нажмите «Да».
  5. Когда откроется «Консоль управления Microsoft», нажмите «Файл» и выберите «Добавить / удалить оснастку».
  6. В левом меню выберите «Сертификаты» и нажмите «Добавить».
  7. На следующем экране установите переключатель рядом с «Учетная запись компьютера» и нажмите «Далее».
  8. Нажмите «Готово».
  9. Когда вы вернетесь к экрану «Добавить или удалить оснастки», нажмите «ОК».
  10. В окне консоли управления Microsoft нажмите «Сертификаты (локальный компьютер)».
  11. Щелкните правой кнопкой мыши «Доверенные корневые центры сертификации» на левой панели и выберите «Все задачи», а затем «Импорт».
  12. Нажмите «Далее» в «Мастере импорта сертификатов».
  13. Найдите место, где вы сохранили сертификат Securly, и выберите его. Затем нажмите «Открыть».
  14. Убедитесь, что в окне Хранилища сертификатов написано «Доверенные корневые центры сертификации», и нажмите «Далее».
  15. Нажмите «Готово», а затем «ОК».
  16. На этом этапе вы должны увидеть сертификат Securly, отображаемый в папке сертификатов.
.

Практическое руководство. Просмотр сертификатов с помощью оснастки MMC - WCF

  • 2 минуты на чтение

В этой статье

При создании безопасного клиента или службы вы можете использовать сертификат в качестве учетных данных. Например, распространенным типом учетных данных является сертификат X.509, который вы создаете с помощью X509CertificateInitiatorClientCredential.SetCertificate метод.

Существует три различных типа хранилищ сертификатов, которые можно изучить с помощью консоли управления Microsoft (MMC) в системах Windows:

  • Локальный компьютер: хранилище является локальным для устройства и глобальным для всех пользователей на устройстве.

  • Текущий пользователь: хранилище является локальным для текущей учетной записи пользователя на устройстве.

  • Учетная запись службы: хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

Следующая процедура демонстрирует, как проверить магазины на вашем локальном устройстве, чтобы найти соответствующий сертификат:

  1. Выберите Run из меню Start , а затем введите mmc .

    Появляется MMC.

  2. В меню Файл выберите Добавить / удалить привязку .

    Откроется окно Добавить или удалить оснастки .

  3. Из списка Доступные оснастки выберите Сертификаты , затем выберите Добавить .

  4. В окне оснастки «Сертификаты» выберите Учетная запись компьютера , а затем выберите Далее .

    При желании вы можете выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.

    Примечание

    Если вы не являетесь администратором своего устройства, вы можете управлять сертификатами только для своей учетной записи.

  5. В окне Выбрать компьютер оставьте Локальный компьютер выбранным, а затем выберите Завершить .

  6. В окне Добавить или удалить оснастку выберите OK .

  7. Необязательно: в меню Файл выберите Сохранить или Сохранить как , чтобы сохранить файл консоли MMC для дальнейшего использования.

  8. Для просмотра сертификатов в оснастке MMC выберите Корень консоли на левой панели, затем разверните Сертификаты (локальный компьютер) .

    Появится список каталогов для каждого типа сертификата. Из каждого каталога сертификатов вы можете просматривать, экспортировать, импортировать и удалять его сертификаты.

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью инструмента «Диспетчер сертификатов».

Для просмотра сертификатов для локального устройства

  1. Выберите Run из меню Start , а затем введите certlm.msc .

    Появится инструмент диспетчера сертификатов для локального устройства.

  2. Для просмотра сертификатов в разделе Сертификаты - Локальный компьютер на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

Для просмотра сертификатов текущего пользователя

  1. Выберите Run из меню Start , а затем введите certmgr.msc .

    Появится инструмент диспетчера сертификатов для текущего пользователя.

  2. Для просмотра сертификатов в разделе «Сертификаты - текущий пользователь » на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

См. Также

.

Создание и экспорт сертификатов для пользовательских VPN-подключений

  • 7 минут на чтение

В этой статье

Пользовательские VPN-соединения (точка-сеть) используют сертификаты для аутентификации. В этой статье показано, как создать самозаверяющий корневой сертификат и сгенерировать клиентские сертификаты с помощью PowerShell в Windows 10 или Windows Server 2016.

Вы должны выполнить действия, описанные в этой статье, на компьютере под управлением Windows 10 или Windows Server 2016. Командлеты PowerShell, которые вы используете для создания сертификатов, являются частью операционной системы и не работают в других версиях Windows. Компьютер с Windows 10 или Windows Server 2016 нужен только для создания сертификатов. После создания сертификатов вы можете загрузить их или установить в любой поддерживаемой клиентской операционной системе.

Создать самоподписанный корневой сертификат

Используйте командлет New-SelfSignedCertificate для создания самозаверяющего корневого сертификата.Дополнительные сведения о параметрах см. В разделе New-SelfSignedCertificate.

  1. На компьютере под управлением Windows 10 или Windows Server 2016 откройте консоль Windows PowerShell с повышенными привилегиями. Эти примеры не работают в Azure Cloud Shell «Попробуйте». Вы должны запустить эти примеры локально.

  2. Используйте следующий пример для создания самозаверяющего корневого сертификата. В следующем примере создается самозаверяющий корневой сертификат с именем «P2SRootCert», который автоматически устанавливается в «Certificates-Current User \ Personal \ Certificates».Вы можете просмотреть сертификат, открыв certmgr.msc или Управление сертификатами пользователей .

    Войдите в систему, используя командлет Connect-AzAccount . Затем запустите следующий пример с любыми необходимыми изменениями.

      $ cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature ` -Subject "CN = P2SRootCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert: \ CurrentUser \ My" -KeyUsageProperty Sign -KeyUsage CertSign  
  3. Оставьте консоль PowerShell открытой и выполните следующие шаги для создания клиентских сертификатов.

Создать сертификат клиента

На каждом клиентском компьютере, который подключается к виртуальной сети с помощью Point-to-Site, должен быть установлен сертификат клиента. Вы создаете сертификат клиента из самозаверяющего корневого сертификата, а затем экспортируете и устанавливаете сертификат клиента. Если сертификат клиента не установлен, аутентификация не выполняется.

Следующие шаги помогут вам создать сертификат клиента из самозаверяющего корневого сертификата. Вы можете создать несколько клиентских сертификатов из одного корневого сертификата.Когда вы генерируете клиентские сертификаты, используя следующие шаги, клиентский сертификат автоматически устанавливается на компьютер, который вы использовали для создания сертификата. Если вы хотите установить сертификат клиента на другой клиентский компьютер, вы можете экспортировать сертификат.

В примерах используется командлет New-SelfSignedCertificate для создания сертификата клиента, срок действия которого истекает через год. Дополнительные сведения о параметрах, например о настройке другого значения срока действия для сертификата клиента, см. В разделе New-SelfSignedCertificate.

Пример 1 - Сеанс консоли PowerShell все еще открыт

Используйте этот пример, если вы не закрыли консоль PowerShell после создания самозаверяющего корневого сертификата. Этот пример является продолжением предыдущего раздела и использует объявленную переменную «$ cert». Если вы закрыли консоль PowerShell после создания самозаверяющего корневого сертификата или создаете дополнительные клиентские сертификаты в новом сеансе консоли PowerShell, выполните действия из примера 2.

Измените и запустите пример для создания сертификата клиента.Если вы запустите следующий пример, не изменяя его, результатом будет сертификат клиента с именем «P2SChildCert». Если вы хотите присвоить дочернему сертификату другое имя, измените значение CN. Не изменяйте TextExtension при запуске этого примера. Созданный вами сертификат клиента автоматически устанавливается в папке «Сертификаты - Текущий пользователь \ Персональные \ Сертификаты» на вашем компьютере.

  New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature ` -Subject "CN = P2SChildCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert: \ CurrentUser \ My" ` -Signer $ cert -TextExtension @ ("2.5.29.37 = {текст} 1.3.6.1.5.5.7.3.2 ")  

Пример 2 - Новый сеанс консоли PowerShell

Если вы создаете дополнительные клиентские сертификаты или не используете тот же сеанс PowerShell, который вы использовали для создания самозаверяющего корневого сертификата, выполните следующие действия:

  1. Определите самоподписанный корневой сертификат, установленный на компьютере. Этот командлет возвращает список сертификатов, установленных на вашем компьютере.

      Get-ChildItem -Path "Cert: \ CurrentUser \ My"  
  2. Найдите имя субъекта в возвращенном списке, затем скопируйте отпечаток, расположенный рядом с ним, в текстовый файл.В следующем примере есть два сертификата. Имя CN - это имя самозаверяющего корневого сертификата, из которого вы хотите сгенерировать дочерний сертификат. В данном случае P2SRootCert.

      Отпечаток предмета AED812AD883826FF76B4D1D5A77B3C08EFA79F3F CN = P2SChildCert4 7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655 CN = P2SRootCert  
  3. Объявите переменную для корневого сертификата, используя отпечаток из предыдущего шага.Замените THUMBPRINT отпечатком корневого сертификата, из которого вы хотите сгенерировать дочерний сертификат.

      $ cert = Get-ChildItem -Path "Cert: \ CurrentUser \ My \ THUMBPRINT"  

    Например, используя отпечаток для P2SRootCert на предыдущем шаге, переменная выглядит так:

      $ cert = Get-ChildItem -Path "Cert: \ CurrentUser \ My \ 7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"  
  4. Измените и запустите пример для создания сертификата клиента.Если вы запустите следующий пример, не изменяя его, результатом будет сертификат клиента с именем «P2SChildCert». Если вы хотите присвоить дочернему сертификату другое имя, измените значение CN. Не изменяйте TextExtension при запуске этого примера. Созданный вами сертификат клиента автоматически устанавливается в папке «Сертификаты - Текущий пользователь \ Персональные \ Сертификаты» на вашем компьютере.

      New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature ` -Subject "CN = P2SChildCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert: \ CurrentUser \ My" ` -Signer $ cert -TextExtension @ ("2.5.29.37 = {текст} 1.3.6.1.5.5.7.3.2 ")  

Экспорт открытого ключа корневого сертификата (.cer)

После создания самозаверяющего корневого сертификата экспортируйте файл открытого ключа корневого сертификата .cer (не закрытый ключ). Позже вы загрузите этот файл в Azure. Следующие шаги помогут вам экспортировать файл .cer для вашего самозаверяющего корневого сертификата:

  1. Чтобы получить файл .cer из сертификата, откройте Управление сертификатами пользователей . Найдите самоподписанный корневой сертификат, обычно в «Сертификаты - Текущий пользователь \ Личные \ Сертификаты», и щелкните правой кнопкой мыши.Щелкните Все задачи , а затем щелкните Экспорт . Откроется мастер экспорта сертификатов . Если вы не можете найти сертификат в разделе «Текущий пользователь \ Персональные \ Сертификаты», возможно, вы случайно открыли «Сертификаты - Локальный компьютер», а не «Сертификаты - Текущий пользователь»). Если вы хотите открыть диспетчер сертификатов в текущей области пользователя с помощью PowerShell, введите certmgr в окне консоли.

  2. В мастере нажмите Далее .

  3. Выберите Нет, не экспортировать закрытый ключ , а затем нажмите Далее .

  4. На странице Export File Format выберите Base-64 encoded X.509 (.CER). , а затем нажмите Далее .

  5. Для Файл для экспорта , Найдите в папку, в которую вы хотите экспортировать сертификат. Для Имя файла назовите файл сертификата.Затем нажмите Далее .

  6. Щелкните Finish , чтобы экспортировать сертификат.

  7. Ваш сертификат успешно экспортирован.

  8. Экспортированный сертификат выглядит примерно так:

  9. Если вы откроете экспортированный сертификат с помощью Блокнота, вы увидите нечто похожее на этот пример. Раздел синего цвета содержит информацию, загруженную в Azure.Если вы открываете свой сертификат в Блокноте и он не похож на этот, обычно это означает, что вы не экспортировали его в формате X.509 (.CER) в кодировке Base-64. Кроме того, если вы хотите использовать другой текстовый редактор, имейте в виду, что некоторые редакторы могут вносить непреднамеренное форматирование в фоновом режиме. Это может создать проблемы при загрузке текста из этого сертификата в Azure.

Экспорт самозаверяющего корневого сертификата и закрытого ключа для его хранения (необязательно)

Вы можете экспортировать самоподписанный корневой сертификат и безопасно сохранить его в качестве резервной копии.При необходимости вы можете позже установить его на другой компьютер и сгенерировать дополнительные клиентские сертификаты. Чтобы экспортировать самозаверяющий корневой сертификат как .pfx, выберите корневой сертификат и выполните те же действия, что описаны в разделе Экспорт сертификата клиента.

Экспорт сертификата клиента

Когда вы генерируете сертификат клиента, он автоматически устанавливается на компьютер, который вы использовали для его создания. Если вы хотите установить сертификат клиента на другой клиентский компьютер, вам необходимо экспортировать созданный вами сертификат клиента.

  1. Чтобы экспортировать сертификат клиента, откройте Управление сертификатами пользователя . Сгенерированные вами клиентские сертификаты по умолчанию находятся в папке «Сертификаты - Текущий пользователь \ Персональные \ Сертификаты». Щелкните правой кнопкой мыши сертификат клиента, который нужно экспортировать, выберите все задачи , а затем нажмите Экспорт , чтобы открыть мастер экспорта сертификатов .

  2. В мастере экспорта сертификатов нажмите Далее , чтобы продолжить.

  3. Выберите Да, экспортируйте закрытый ключ , а затем нажмите Далее .

  4. На странице Export File Format оставьте значения по умолчанию выбранными. Убедитесь, что Включить все сертификаты в путь сертификации, если возможно, выбран . Этот параметр дополнительно экспортирует информацию о корневом сертификате, необходимую для успешной аутентификации клиента. Без него аутентификация клиента не удастся, потому что у клиента нет доверенного корневого сертификата.Затем нажмите Далее .

  5. На странице Security необходимо защитить закрытый ключ. Если вы выбрали использование пароля, обязательно запишите или запомните пароль, который вы установили для этого сертификата. Затем нажмите Далее .

  6. В файле для экспорта , Найдите в папку, в которую нужно экспортировать сертификат. Для Имя файла назовите файл сертификата.Затем нажмите Далее .

  7. Щелкните Finish , чтобы экспортировать сертификат.

Следующие шаги

Продолжите шаги Virtual WAN для пользовательского VPN-подключения

.

Смотрите также