Как установить сертификат контур экстерн на другой компьютер

Перенос Контур Экстерн на другой компьютер

Для переноса системы Контур.Экстерн на другое рабочее место необходимо:

1. Скопировать сертификаты на любой съемный носитель, если они установлены в реестре компьютера.
2. Если используете для работы программу Контур.Экстерн Лайт или Контур.Архив — необходимо перенести настройки и базу переданных документов.
3. Установить систему Контур.Экстерн и компоненты на новый компьютер с помощью веб-диска.
4. Установить сертификаты на новом компьютере.

1. Копирование сертификатов

Если ключи электронной подписи (ЭП) на старом рабочем месте были установлены в Реестр, необходимо скопировать их на любой съемный носитель. Для этого выполните следующие действия:

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата. 

Если на компьютере установлено несколько сертификатов — повторите п.3-6 для каждого сертификата.

Здесь вы можете выбрать другой способ копирования сертификатов.

Если все ключи ЭП находятся на съемных носителях — перейдите к п.2.

2. Перенос программы Контур.Экстерн Лайт и Контур.Архив

Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов с одного рабочего места на другое. Если не используете — перейдите к следующему пункту.

Чтобы перенести Контур.Экстерн Лайт, необходимо cкопировать с прежнего рабочего места файлы настроек и базы данных и поместить их в соответствующий каталог на новом рабочем месте:

ВНИМАНИЕ! При совершении каких-либо действий с файлом RSBASE, помните, что не рекомендуется удалять или перемещать его из директории, если Вы не уверены в необходимости этих действий. В данном файле хранятся все настройки и база данных переданных ранее документов.При переносе файла с одного компьютера на другой, рекомендуется использовать функцию копирования файла.После этого установите Контур.Экстерн Лайт с помощью установочного диска на желаемое рабочее место.

Для переноса Контур.Архива с базой данный на другой компьютер воспользуйтесь инструкцией.

3. Установка системы Контур.Экстерн на новый компьютер

Откройте веб-диск по ссылке. При первом входе может появиться сообщение о необходимости установить утилиту AddToTrusted (либо Kontur-Install-KEKEP, при использовании браузера, отличного от Internet Explorer). Данная утилита добавит необходимые домены в надежные узлы, а также настроит для них параметры безопасности. Необходимо нажать кнопку «Скачать файл настройки» и установить утилиту.

В появившемся внизу окна сообщении нажмите кнопку «Выполнить». Также утилиту можно сохранить в любой каталог и запустить файл AddToTrusted_User.exe.

После завершения установки утилиты закройте все окна обозревателя и зайдите на веб-диск. 

Если при входе на веб-диск не предлагается установить / обновить какие-либо компоненты, то перейдите к запросу / установке личного сертификата.

В открывшемся окне нажмите кнопку «Далее» и дождитесь окончания процесса. При необходимости смените тип установки, для этого нажмите на ссылку «Сменить тип установки» в верхней части страницы.

Для полной установки системы нажмите на кнопку «Установить».

При использовании веб-диска происходит автоматическая проверка уже установленных на рабочем месте компонент. После нажатия на кнопку «Установить» будут установлены только недостающие для корректной работы компоненты. Данный способ установки является рекомендуемым.

Также можете воспользоваться выборочной установкой компонент (не рекомендуется). Для этого нажмите на ссылку «Выбрать компоненты для установки», отметьте необходимые компоненты и нажмите кнопку «Начать установку».

Дождитесь окончания процесса установки. После этого перезапустите браузер (при необходимости — перезагрузите компьютер) и снова откройте веб-диск.

Нажмите кнопку «Далее», дождитесь окончания процесса. Отобразится окно установки и запроса сертификатов.

• Для запроса нового сертификата, нажмите кнопку «Получить в личном кабинете».
• Если сертификат находится на Рутокене, подключите ключевой носитель к компьютеру и нажмите на кнопку «Установить с рутокена». Если сертификат находится на другом носителе — перейдите к п.4.

4. Установка сертификата

Для проверки установленного сертификата или воспользуйтесь ярлыком «Экстерн». Он появится на рабочем столе после установки компонентов.

Если при входе в сервис появляется сообщение что сертификат не установлен, или сертификат находится на флэшке — установите сертификат вручную по инструкции.

Перенос системы Контур.Экстерн на другой компьютер. Настройка дополнительного рабочего места

Для первичной установки системы Контур.Экстерн, воспользуйтесь инструкцией по ссылке.​

Для переноса системы Контур.Экстерн на другое рабочее место необходимо:

1. Скопировать сертификаты на любой съемный носитель, если они установлены в реестре компьютера.

2. Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов.

3. Установить систему Контур.Экстерн и компоненты на новый компьютер с помощью веб-диска.

4. Установить сертификаты на новом компьютере.

1. Копирование сертификатов

Если ключи электронной подписи (ЭП) на старом рабочем месте были установлены в Реестр, необходимо скопировать их на любой съемный носитель. Для этого выполните следующие действия:

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата.

Если на компьютере установлено несколько сертификатов — повторите п.3-6 для каждого сертификата.

Здесь вы можете выбрать другой способ копирования сертификатов.

Если все ключи ЭП находятся на съемных носителях — перейдите к п.2.

2. Перенос программы Контур.Экстерн Лайт

Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов с одного рабочего места на другое. Если не используете — перейдите к следующему пункту.

Чтобы перенести Контур.Экстерн Лайт, необходимо cкопировать с прежнего рабочего места файлы настроек и базы данных и поместить их в соответствующий каталог на новом рабочем месте:

ВНИМАНИЕ! При совершении каких-либо действий с файлом RSBASE, помните, что не рекомендуется удалять или перемещать его из директории, если Вы не уверены в необходимости этих действий. В данном файле хранятся все настройки и база данных переданных ранее документов.При переносе файла с одного компьютера на другой, рекомендуется использовать функцию копирования файла.После этого установите Контур.Экстерн Лайт с помощью установочного диска на желаемое рабочее место.

3. Установка системы Контур.Экстерн на новый компьютер

Откройте веб-диск по ссылке. При первом входе может появиться сообщение о необходимости установить утилиту AddToTrusted (либо Kontur-Install-KEKEP, при использовании браузера, отличного от Internet Explorer). Данная утилита добавит необходимые домены в надежные узлы, а также настроит для них параметры безопасности. Необходимо нажать кнопку «Скачать файл настройки» и установить утилиту.

В появившемся внизу окна сообщении нажмите кнопку «Выполнить». Также утилиту можно сохранить в любой каталог и запустить файл AddToTrusted_User.exe.

После завершения установки утилиты закройте все окна обозревателя и зайдите на веб-диск.

Если при входе на веб-диск не предлагается установить / обновить какие-либо компоненты, то перейдите к запросу / установке личного сертификата.

В открывшемся окне нажмите кнопку «Далее» и дождитесь окончания процесса. При необходимости смените тип установки, для этого нажмите на ссылку «Сменить тип установки» в верхней части страницы.

Для полной установки системы нажмите на кнопку «Установить».

При использовании веб-диска происходит автоматическая проверка уже установленных на рабочем месте компонент. После нажатия на кнопку «Установить» будут установлены только недостающие для корректной работы компоненты. Данный способ установки является рекомендуемым.

Также можете воспользоваться выборочной установкой компонент (не рекомендуется). Для этого нажмите на ссылку «Выбрать компоненты для установки», отметьте необходимые компоненты и нажмите кнопку «Начать установку».

Дождитесь окончания процесса установки. После этого перезапустите браузер (при необходимости — перезагрузите компьютер) и снова откройте веб-диск.

Нажмите кнопку «Далее», дождитесь окончания процесса. Отобразится окно установки и запроса сертификатов.

• Для запроса нового сертификата, нажмите кнопку «Получить в личном кабинете».
• Если сертификат находится на Рутокене, подключите ключевой носитель к компьютеру и нажмите на кнопку «Установить с рутокена». Если сертификат находится на другом носителе - перейдите к п.4.

4. Установка сертификата

Для проверки установленного сертификата или воспользуйтесь ярлыком «Экстерн». Он появится на рабочем столе после установки компонентов.

Если при входе в сервис появляется сообщение что сертификат не установлен, или сертификат находится на флэшке - установите сертификат вручную по инструкции.

Как установить личный сертификат? — Удостоверяющий центр СКБ Контур

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.

5. В окне Сертификат для просмотра нажмите кнопку Установить:

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

7. Дождитесь сообщения об успешной установке:

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу [email protected]

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово:

9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Как скопировать контейнер? — Удостоверяющий центр СКБ Контур

В случае, если для работы используется flash-накопитель или дискета, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата, если он есть) необходимо поместить в корень flash-накопителя (дискеты). Название папки при копировании рекомендуется не изменять. 

Папка с закрытым ключом должна содержать 6 файлов с расширением.key. Ниже приведен пример содержимого такой папки.

Копирование контейнера также может быть выполнено с помощью криптопровайдера КриптоПро CSP. Для этого необходимо выполнить следующие шаги:

1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать. (см. рис. 1).

Рис. 1. Окно «Свойства КриптоПро CSP»

3. В окне Копирование контейнера закрытого ключа нажать на кнопку Обзор (см. рис. 2).

Рис. 2. Копирование контейнера закрытого ключа

4. Выбрать контейнер из списка, кликнуть по кнопке Ок, затем Далее.

5. Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать Готово (см. рис. 3).

Рис. 3. Имя ключевого контейнера

6. В окне «Вставьте и выберите носитель для хранения контейнера закрытого ключа» необходимо выбрать носитель, на который будет помещен новый контейнер (см. рис. 4).

Рис. 4. Выбор чистого ключевого носителя

7. На новый контейнер будет предложено установить пароль. Установка пароля не является обязательной, можно оставить поле пустым и нажать на кнопку Ок (см. рис. 5).

Рис. 5. Установка пароля на контейнер

Если копирование выполняется на носитель Rutoken, сообщение будет звучать иначе (см. рис. 6)

Рис. 6. Pin-код для контейнера

Рекомендуется указать стандартный pin-код (12345678)

Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.

8. После выполнения копирования система вернется на вкладку Сервис в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы в системе «Контур-Экстерн» новый ключевой контейнер, необходимо установить личный сертификат (см. Как установить личный сертификат?).

Для массового копирования скачайте и запустите утилиту Certfix. 

1. После запуска дождитесь загрузки всего списка контейнеров\сертификатов.
2. Отметьте нужные контейнеры галочками.
3. Нажмите на меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров»
   
4. Выберите носитель для хранения копии контейнера и нажмите на ОК
   
5. При копировании в реестр можно поставить галочку на пункте «Копировать в ключевой контейнер компьютера» — после копирования контейнер будет доступен всем пользователям данного компьютера.
6. После копирования нажмите внизу слева кнопку Обновить
7. Если хотите работать со скопированными контейнерами — необходимо установить сертификаты. Сделать это можно массово по кнопке «Импорт в хранилище личных».

Перенос системы ЦентрИнформ на другое рабочее место

Перенос системы ЦентрИнформ на другое рабочее место

Для переноса системы Контур.Экстерн на другое рабочее место необходимо:

• Скопировать сертификаты на любой съемный носитель, если они установлены в реестре компьютера;
• Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов;
• Установить систему Контур.Экстерн и компоненты на новый компьютер с помощью веб-диска;
• Установить сертификаты на новом компьютере.

Копирование сертификатов

1. На старом рабочем месте проверьте на каком носители содержатся ключи электронной подписи. Для этого запустите программу КриптоПро CSP. (Пуск – Панель управления – КриптоПро CSP). Перейдите в закладку «Сервис», нажмите на кнопку «Просмотреть сертификаты в контейнере», нажмите «Обзор». В открывшемся окне проверьте, что указано в столбце «Считыватель».
   
2. Если ключи электронной подписи на старом рабочем месте установлены в «Реестр», необходимо скопировать их на любой съемный носитель. Для корректной работы в системе на новом рабочем месте вам необходимо скопировать все контейнеры с сертификатами. Для этого выполните действия по нашей инструкции.
3. Если все ключи находятся на съемных носителях пропустите шаг «Копирование сертификатов».

Перенос программы Контур.Экстерн Лайт

Если используете для работы программу Контур.Экстерн Лайт — необходимо перенести настройки и базу переданных документов с одного рабочего места на другое. Если не используете — пропустите данный шаг. Для переноса программы Контур.Экстерн Лайт выполните следующие действия:

1. Скопируйте со старого рабочего места файлы настроек и базы данных программы. В таблице ниже указано название файла для копирования и каталог, в котором он лежит, в зависимости от операционной системы.
   
2. При совершении каких-либо действий с файлом RSBASE, помните, что не рекомендуется удалять или перемещать его из директории, если вы не уверены в необходимости этих действий. В данном файле хранятся все настройки и база данных переданных ранее документов. При переносе файла с одного компьютера на другой, рекомендуется использовать функцию копирования файла.
3. Установите KELite-5.8.2.msi (нажмите здесь, чтобы скачать) на новом рабочем месте
4. Поместите файлы настроек и базы данных программы в соответствующий каталог из таблицы.

Установка системы на новое рабочее место

Для установки системы рекомендуется использовать веб-диск. С помощью веб-диска устанавливаются только актуальные компоненты, необходимые для корректной работы. Для установки необходимы права администратора.

Установка сертификатов

Система успешно установлена.

Для начала работы воспользуйтесь ярлыком «ЦентрИнформ» на рабочем столе.

Как скопировать контейнер с сертификатом на другой носитель?

Копирование средствами Windows

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата - открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять. 

В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа - папки с шестью файлами и открытого ключа - файла с расширением.cer.

Копирование на профиле Диагностики

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль - появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата.

Массовое копирование

1. Скачайте и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочками.
2. Выберите меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров».

3. Выберите носитель для хранения копии контейнера и нажмите «ОК». При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.

4. После копирования нажмите внизу слева кнопку «Обновить».

Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

Копирование с помощью КриптоПро CSP

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис»и кликните по кнопке «Скопировать».

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода пин-кода, в котором следует указать стандартный pin-код - 12345678.

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Устанавливать пароль необязательно, можете оставить поле пустым и нажать на кнопку «Ок». В случае утери пароля/pin-кода использование контейнера станет невозможным.

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. Укажите стандартный pin-код - 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер,  установите его через Крипто Про.

Как перенести центр сертификации на другой сервер - Windows Server

• 07.12.2020
• 10 минут на чтение

В этой статье

В этой статье описывается, как переместить центр сертификации (ЦС) на другой сервер.

Исходная версия продукта: Windows Server 2003
Оригинальный номер базы знаний: 298138

Примечание

Эта статья относится к Windows 2000.Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений по окончании поддержки Windows 2000 - это отправная точка для планирования стратегии перехода с Windows 2000. Дополнительные сведения см. В политике жизненного цикла поддержки Microsoft.

Сводка

Центры сертификации (CA) являются центральным компонентом инфраструктуры открытых ключей (PKI) организации. Центры сертификации настроены на существование в течение многих лет или десятилетий, в течение которых оборудование, на котором размещен центр сертификации, вероятно, будет обновлено.

Чтобы переместить центр сертификации с сервера под управлением Windows 2000 Server на сервер под управлением Windows Server 2003, необходимо сначала обновить сервер CA под управлением Windows 2000 Server до Windows Server 2003. Затем вы можете выполнить следующие действия. изложено в этой статье.

Убедитесь, что% Systemroot% целевого сервера совпадает с% Systemroot% сервера, с которого создается резервная копия состояния системы.

Вы должны изменить путь к файлам CA при установке компонентов сервера CA, чтобы они соответствовали расположению резервной копии.Например, если вы выполняете резервное копирование из папки D: \ Winnt \ System32 \ Certlog, вы должны восстановить резервную копию в папку D: \ Winnt \ System32 \ Certlog. Вы не можете восстановить резервную копию в папку C: \ Winnt \ System32 \ Certlog. После восстановления из резервной копии вы можете переместить файлы базы данных CA в расположение по умолчанию.

Если вы попытаетесь восстановить резервную копию, а% Systemroot% резервной копии и целевого сервера не совпадают, вы можете получить следующее сообщение об ошибке:

Невозможно выполнить восстановление инкрементного образа, пока не будет выполнено восстановление из полного образа.Имя каталога недействительно. 0x8007010b (WIN32 / HTTP: 267)

При переносе служб сертификации из 32-разрядной операционной системы в 64-разрядную операционную систему или наоборот может произойти сбой с одним из следующих сообщений об ошибке:

Ожидаемые данные не существуют в этом каталоге.

Восстановление инкрементного образа не может быть выполнено до выполнения восстановления из полного образа 0x8007010b (WIN32 / HTTP: 267)

Изменение формата базы данных с 32-битной версии на 64-битную версию вызывает несовместимость, и восстановление блокируется.Это похоже на переход от Windows 2000 к Windows Server 2003 CA. Однако пути обновления с 32-разрядной версии Windows Server 2003 до 64-разрядной версии не существует. Следовательно, вы не можете переместить существующую 32-разрядную базу данных в 64-разрядную базу данных на компьютере под управлением Windows Server 2003. Однако вы можете выполнить обновление с ЦС Windows Server 2003 (работает на Windows Server 2003 x86) до Windows Server 2008 R2 CA (работает на Windows Server 2008 R2 x64). Это обновление поддерживается.

Версия Windows Server 2003 R2 CD2 на базе x64 обновляет только 64-разрядные версии Windows Server 2003, основанные на архитектуре EM64T или на архитектуре AMD64.

Резервное копирование и восстановление ключей центра сертификации и базы данных в Windows Server 2003

Важно

Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

1. Обратите внимание на шаблоны сертификатов, которые настроены в папке Шаблоны сертификатов в оснастке центра сертификации. Настройки шаблонов сертификатов хранятся в Active Directory. Они не копируются автоматически. Вы должны вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы поддерживать тот же набор шаблонов.

   Примечание

   Папка шаблонов сертификатов существует только в ЦС предприятия. Автономные центры сертификации не используют шаблоны сертификатов.Таким образом, этот шаг не применяется к автономному ЦС.

2. Используйте оснастку центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

   1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Резервное копирование ЦС , чтобы запустить мастер резервного копирования центра сертификации.
   2. Щелкните Далее , а затем щелкните Закрытый ключ и сертификат ЦС .
   3. Щелкните База данных сертификатов и журнал базы данных сертификатов .
   4. Используйте пустую папку в качестве хранилища резервных копий. Убедитесь, что новый сервер имеет доступ к папке резервного копирования.
   5. Щелкните Далее . Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
   6. Введите и подтвердите пароль для файла резервной копии закрытого ключа CA.
   7. Нажмите Далее , а затем проверьте настройки резервного копирования.Должны отображаться следующие настройки:
      • Закрытый ключ и сертификат ЦС
      • Выпущенный журнал и ожидающие запросы
   8. Нажмите Готово .

3. Сохраните настройки реестра для этого CA. Для этого выполните следующие действия:

   1. Щелкните Start , щелкните Run , введите regedit в поле Open , а затем щелкните OK .
   2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration
   3. Щелкните Экспорт .
   4. Сохраните файл реестра в папке резервного копирования CA, которую вы определили на шаге 2d.

4. Удалите службы сертификации со старого сервера.

   Примечание

   На этом шаге удаляются объекты из Active Directory. Не выполняйте этот шаг вне очереди. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для использования.

5. Переименуйте старый сервер или навсегда отключите его от сети.

6. Установите службы сертификации на новый сервер. Для этого выполните следующие действия.

   Примечание

   Новый сервер должен иметь то же имя компьютера, что и старый сервер.

   1. На Панели управления дважды щелкните Установка и удаление программ .
   2. Щелкните Добавить / удалить компоненты Windows , щелкните Службы сертификации в мастере компонентов Windows, а затем щелкните Далее .
   3. В диалоговом окне Тип CA щелкните соответствующий тип CA.
   4. Нажмите Использовать пользовательские настройки для создания пары ключей и сертификата CA , а затем нажмите Далее .
   5. Щелкните Импорт , введите путь к файлу .P12 в папке резервного копирования, введите пароль, который вы выбрали на шаге 2f, а затем щелкните ОК .
   6. В диалоговом окне Пара открытого и закрытого ключей убедитесь, что установлен флажок Использовать существующие ключи .
   7. Дважды щелкните Далее .
   8. Примите настройки базы данных сертификатов по умолчанию, нажмите Далее , а затем нажмите Завершить , чтобы завершить установку служб сертификации.

7. Остановите службу сертификации.

8. Найдите файл реестра, который вы сохранили на шаге 3, а затем дважды щелкните его, чтобы импортировать параметры реестра. Если путь, указанный в экспорте реестра из старого центра сертификации, отличается от нового пути, необходимо соответствующим образом настроить экспорт реестра. По умолчанию новый путь - C: \ Windows в Windows Server 2003.

9. Воспользуйтесь оснасткой центра сертификации для восстановления базы данных ЦС.Для этого выполните следующие действия:

   1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Восстановить ЦС .

      Запустится мастер восстановления центра сертификации.

   2. Щелкните Далее , а затем щелкните Закрытый ключ и сертификат ЦС .

   3. Щелкните База данных сертификатов и журнал базы данных сертификатов .

   4. Введите расположение папки резервного копирования и нажмите Далее .

   5. Проверьте настройки резервного копирования. Журнал выдачи Должны быть отображены параметры и Ожидающие запросы .

   6. Нажмите Готово , а затем нажмите Да , чтобы перезапустить службы сертификации после восстановления базы данных ЦС.

   Вы можете получить следующую ошибку во время процесса восстановления ЦС, если папка резервной копии ЦС имеет неправильный формат структуры папок:

   ---------------------------
   Служба сертификации Microsoft
   ----------------- ----------

   Ожидаемые данные не существуют в этом каталоге.
   Выберите другой каталог. Имя каталога недействительно. 0x8007010b (WIN32 / HTTP: 267)

   Правильная структура папок следующая:

   • C: \ Ca_Backup \ CA_NAME.p12
   • C: \ Ca_Backup \ Database \ certbkxp.dat
   • C: \ Ca_Backup \ Database \ edb #####. Log
   • C: \ Ca_Backup \ Database \ CA_NAME.edb

   Где C: \ Ca_Backup - это папка, которую вы выбрали на этапе резервного копирования CA на шаге 2.

10. В оснастке центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать настройки шаблонов сертификатов, которые вы отметили на шаге 1.

Резервное копирование и восстановление ключей центра сертификации и базы данных в Windows 2000 Server

Важно

Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема.Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

1. Обратите внимание на шаблоны сертификатов, которые настроены в папке Шаблоны сертификатов в оснастке центра сертификации. Настройки шаблонов сертификатов хранятся в Active Directory. Они не копируются автоматически. Вы должны вручную настроить параметры шаблонов сертификатов в новом ЦС, чтобы поддерживать тот же набор шаблонов.

   Примечание

   Папка шаблонов сертификатов существует только в ЦС предприятия. Автономные центры сертификации не используют шаблоны сертификатов. Таким образом, этот шаг не применяется к автономному ЦС.

2. Используйте оснастку центра сертификации для резервного копирования базы данных ЦС и закрытого ключа. Для этого выполните следующие действия:

   1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Резервное копирование ЦС , чтобы запустить мастер резервного копирования центра сертификации.
   2. Щелкните Далее , а затем щелкните Закрытый ключ и сертификат ЦС .
   3. Щелкните Журнал выданных сертификатов и очередь ожидающих запросов на сертификат.
   4. Используйте пустую папку в качестве хранилища резервных копий. Убедитесь, что новый сервер имеет доступ к папке резервного копирования.
   5. Щелкните Далее . Если указанная папка резервного копирования не существует, мастер резервного копирования центра сертификации создает ее.
   6. Введите и подтвердите пароль для файла резервной копии закрытого ключа CA.
   7. Дважды щелкните Далее , а затем проверьте настройки резервного копирования. Должны отображаться следующие настройки:
      • Закрытый ключ и сертификат ЦС
      • Выпущенный журнал и ожидающие запросы
   8. Нажмите Готово .

3. Сохраните настройки реестра для этого CA. Для этого выполните следующие действия:

   1. Щелкните Start , щелкните Run , введите regedit в поле Open , а затем щелкните OK .
   2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration
   3. Щелкните Configuration , а затем щелкните Export Registry File в меню Registry .
   4. Сохраните файл реестра в папке резервного копирования CA, которую вы определили на шаге 2d.

4. Удалите службы сертификации со старого сервера.

   Примечание

   На этом шаге удаляются объекты из Active Directory.Не выполняйте этот шаг вне очереди. Если удаление исходного ЦС выполняется после установки целевого ЦС (шаг 6 в этом разделе), целевой ЦС станет непригодным для использования.

5. Переименуйте старый сервер или навсегда отключите его от сети.

6. Установите службы сертификации на новый сервер. Для этого выполните следующие действия.

   Примечание

   Новый сервер должен иметь то же имя компьютера, что и старый сервер.

   1. На панели управления дважды щелкните «Установка и удаление программ».
   2. Щелкните Добавить / удалить компоненты Windows , щелкните Службы сертификации в мастере компонентов Windows, а затем щелкните Далее .
   3. В диалоговом окне Certification Authority Type щелкните соответствующий тип CA.
   4. Щелкните Дополнительные параметры , а затем щелкните Далее .
   5. В диалоговом окне Пара открытого и закрытого ключей щелкните Использовать существующие ключи , а затем щелкните Импорт .
   6. Введите путь к файлу .P12 в папке резервного копирования, введите пароль, который вы выбрали на шаге 2f, а затем нажмите OK .
   7. Щелкните Далее , введите описание CA, если необходимо, а затем щелкните Далее.
   8. Примите настройки места хранения данных по умолчанию, нажмите Далее , а затем нажмите Завершить , чтобы завершить установку служб сертификации.

7. Остановите службу сертификации.

8. Найдите файл реестра, который вы сохранили на шаге 3, а затем дважды щелкните его, чтобы импортировать параметры реестра.

9. Воспользуйтесь оснасткой центра сертификации для восстановления базы данных ЦС. Для этого выполните следующие действия:

   1. В оснастке центра сертификации щелкните правой кнопкой мыши имя ЦС, выберите Все задачи , а затем нажмите Восстановить ЦС .

      Запустится мастер восстановления центра сертификации.

   2. Щелкните Далее , а затем щелкните Журнал выданных сертификатов и очередь ожидающих запросов на сертификат .

   3. Введите расположение папки резервного копирования и нажмите Далее .

   4. Проверьте настройки резервного копирования. Должны отображаться следующие настройки:

      • Протокол выдачи
      • Ожидающие запросы

   5. Нажмите Готово , а затем нажмите Да , чтобы перезапустить службы сертификации после восстановления базы данных ЦС.

10. В оснастке центра сертификации вручную добавьте или удалите шаблоны сертификатов, чтобы дублировать настройки шаблонов сертификатов, которые вы отметили на шаге 1.

Дополнительная информация

Дополнительные сведения о сценариях обновления и миграции для Windows Server 2003 и Windows Server 2008 см. В техническом документе «Руководство по обновлению и миграции служб сертификации Active Directory». Чтобы просмотреть технический документ, см. Руководство по обновлению и миграции служб сертификации Active Directory.

Как мне установить корневой сертификат Acunetix на другой компьютер?

Acunetix передает все свои данные через TLS / SSL между браузером и сервером. Следовательно, Acunetix использует центр сертификации, который является уникальным для каждой установки и создается во время установки.

Чтобы получить доступ к Acunetix с другого компьютера, после настройки с помощью этого руководства, если вы не решите использовать центр сертификации в масштабах всей организации, вам нужно будет добавить корневой сертификат Acunetix в хранилище доверенных корневых сертификатов вашей операционной системы.

Совет - Следующие инструкции относятся только к программам, которые используют хранилище сертификатов операционной системы. Некоторые программы могут использовать другие хранилища сертификатов. Если вы используете такие программы, вам нужно будет добавить этот сертификат CA и в другие хранилища сертификатов.

Если вы используете Firefox, вам нужно будет добавить корневой сертификат в хранилище сертификатов Firefox. См. Эту статью для получения дополнительной информации.

Расположение корневого сертификата Acunetix

Acunetix хранит уникальный созданный корневой сертификат в папке C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer . Это открытый ключ корневого сертификата Acuentix, и его следует скопировать на компьютер, с которого вы хотите получить доступ к Acunetix.

Окна

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, просто дважды щелкните файл сертификата. Появится диалоговое окно с информацией о сертификате.

Нажмите кнопку Установить сертификат ….Это запустит мастер импорта сертификатов .

Установите переключатель « Текущий пользователь » и нажмите « Далее».

Выберите «Поместить все сертификаты в следующее хранилище» с зависимой фиксацией , нажмите кнопку « Обзор …» и выберите хранилище Trusted Root Certification Authorities (второе в списке). Щелкните Далее .

Мастер предоставит вам сводку ваших действий, нажмите Готово , чтобы импортировать сертификат.

Windows (с использованием PowerShell)

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, откройте консоль PowerShell и введите следующую команду.

  Import-Certificate -FilePath " C: \ path \ to \ ca.cer " -CertStoreLocation "cert: \ CurrentUser \ Root" -Verbose  

Windows отобразит запрос с просьбой подтвердить установку сертификата.Щелкните Да , чтобы продолжить.

Linux (Ubuntu, Debian)

Совет - Если вы еще не вошли в систему как root , вам понадобится пользователь с привилегиями sudo .

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, переименуйте и переместите сертификат в / usr / local / share / ca -сертификаты / acunetix-ca.crt.

  sudo mv ca.cer /usr/local/share/ca-certificates/acunetix-ca.crt  

После перемещения сертификата вам нужно будет запустить update-ca-Certific , чтобы новый сертификат вступил в силу.

  sudo update-ca-сертификаты  

Linux (RHEL / CentOS 7)

Совет - Если вы еще не вошли в систему как root , вам понадобится пользователь с привилегиями sudo .

После копирования C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, которому вы хотите получить доступ к Acunetix, установите пакет ca-сертификатов.

  sudo yum установить CA-сертификаты  

Включите функцию динамической конфигурации CA.

  sudo update-ca-trust force-enable  

Добавьте его как новый файл в / etc / pki / ca-trust / source / anchors / .

  sudo cp  ca.cer  /etc/pki/ca-trust/source/anchors/acunetix-ca.crt  

Обновите доверие CA.

  sudo update-ca-trust extract  

macOS

Совет - Вам понадобится пользователь с привилегиями sudo .

После того как вы скопировали C: \ ProgramData \ Acunetix 11 \ certs \ ca.cer с сервера Acuentix на клиент, с которого вы хотите получить доступ к Acunetix, вы можете использовать команду security в Терминале для установки доверенного корня в Система вашего Mac.брелок .

  sudo security add-trust-cert -d -r trustRoot -k   /Library/Keychains/System.keychain  ca.cer   

Получайте последнюю информацию о веб-безопасности
в свой почтовый ящик каждую неделю.

АВТОР

Ян Маскат

Настройка веб-службы регистрации сертификатов для продления на основе ключа сертификата на настраиваемом порту

• 12.11.2019
• 10 минут на чтение

В этой статье

Авторы: Джитеш Такур, Мира Мохидин, технические консультанты группы Windows. Анкит Тьяги, инженер службы поддержки Windows Group

Сводка

В этой статье представлены пошаговые инструкции по реализации веб-службы политики регистрации сертификатов (CEP) и веб-службы регистрации сертификатов (CES) на настраиваемом порту, отличном от 443, для обновления на основе ключа сертификата, чтобы воспользоваться преимуществами функции автоматического обновления. КЭП и ЕЭП.

В этой статье также объясняется, как работают CEP и CES, и даются рекомендации по настройке.

Примечание

Рабочий процесс, описанный в этой статье, применим к определенному сценарию. Один и тот же рабочий процесс может не работать в другой ситуации. Однако принципы остаются прежними.

Заявление об отказе от ответственности: эта настройка создана для конкретного требования, при котором вы не хотите использовать порт 443 для связи по умолчанию HTTPS для серверов CEP и CES. Хотя такая установка возможна, она имеет ограниченную поддержку.Служба поддержки и обслуживания клиентов может наилучшим образом помочь вам, если вы будете внимательно следовать этому руководству, используя минимальные отклонения от предоставленной конфигурации веб-сервера.

Сценарий

В этом примере инструкции основаны на среде, в которой используется следующая конфигурация:

• Лес Contoso.com, в котором есть инфраструктура открытых ключей (PKI) служб сертификации Active Directory (AD CS).

• Два экземпляра CEP / CES, настроенные на одном сервере, который работает под учетной записью службы.Один экземпляр использует имя пользователя и пароль для начальной регистрации. Другой использует аутентификацию на основе сертификатов для продления на основе ключей в режиме только продления.

• У пользователя есть рабочая группа или компьютер, не входящий в домен, для которого он будет регистрировать сертификат компьютера, используя учетные данные имени пользователя и пароля.

• Подключение пользователя к CEP и CES через HTTPS происходит через настраиваемый порт, например 49999. (Этот порт выбирается из динамического диапазона портов и не используется в качестве статического порта какой-либо другой службой.)

• Когда срок действия сертификата подходит к концу, компьютер использует обновление на основе ключа CES на основе сертификата для обновления сертификата по тому же каналу.

Инструкции по настройке

Обзор

1. Настройте шаблон для продления на основе ключа.

2. В качестве предварительного условия настройте сервер CEP и CES для аутентификации по имени пользователя и паролю. В этой среде мы называем экземпляр «CEPCES01».

3. Настройте другой экземпляр CEP и CES с помощью PowerShell для проверки подлинности на основе сертификата на том же сервере. Экземпляр CES будет использовать учетную запись службы.

   В этой среде мы называем экземпляр «CEPCES02». Используемый сервисный аккаунт - cepcessvc.

4. Настройте параметры на стороне клиента.

Конфигурация

В этом разделе описаны действия по настройке начальной регистрации.

Примечание

Вы также можете настроить любую учетную запись службы пользователя, MSA или GMSA для работы CES.

В качестве предварительного условия необходимо настроить CEP и CES на сервере с использованием аутентификации по имени пользователя и паролю.

Настроить шаблон для продления на основе ключа

Вы можете продублировать существующий шаблон компьютера и настроить следующие параметры шаблона:

1. На вкладке «Имя субъекта» в шаблоне сертификата убедитесь, что выбраны параметры « Поставка в запросе » и « Использовать информацию о субъекте из существующих сертификатов для запросов на продление автоматической регистрации».

2. Перейдите на вкладку Issuance Requirements , а затем установите флажок CA Certificate Manager Approval .

3. Назначьте разрешение Чтение и Регистрация учетной записи службы cepcessvc для этого шаблона.

4. Опубликуйте новый шаблон в центре сертификации.

  Модуль импорта ServerManager Добавить-WindowsFeature Adcs-Enroll-Web-Pol Добавить-WindowsFeature Adcs-Enroll-Web-Svc  

  Install-AdcsEnrollmentPolicyWebService -AuthenticationType Имя пользователя -SSLCertThumbprint "sslCertThumbPrint"  

  Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig "CA1.contoso.com \ contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Имя пользователя  

  Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint "sslCertThumbPrint" -KeyBasedRenewal  

  Install-AdcsEnrollmentWebService -CAConfig "CA1.contoso.com \ contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Certificate -ServiceAccountName "Пользователь Contoso \ cepcessvc" -SassureAccount (пароль для чтения) -SassureAccount (пароль-чтение) RenewalOnly -AllowKeyBasedRenewal  

  Get-ADUser -Identity cepcessvc | Set-ADAccountControl -TrustedToAuthForDelegation $ True Set-ADUser -Identity cepcessvc -Add @ {'msDS-AllowedToDelegateTo' = @ ('HOST / CA1.contoso.com ',' RPCSS / CA1.contoso.com ')}  

  certreq -machine -q -enroll -cert  обновить  

1. Выберите Run из меню Start , а затем введите mmc .

   Появляется MMC.

2. В меню Файл выберите Добавить / удалить привязку .

   Откроется окно Добавить или удалить оснастки .

3. Из списка Доступные оснастки выберите Сертификаты , затем выберите Добавить .

4. В окне оснастки «Сертификаты» выберите Учетная запись компьютера , а затем выберите Далее .

   При желании вы можете выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.

   Примечание

   Если вы не являетесь администратором своего устройства, вы можете управлять сертификатами только для своей учетной записи.

5. В окне Выбрать компьютер оставьте Локальный компьютер выбранным, а затем выберите Завершить .

6. В окне Добавить или удалить оснастку выберите OK .

7. Необязательно: в меню Файл выберите Сохранить или Сохранить как , чтобы сохранить файл консоли MMC для дальнейшего использования.

8. Для просмотра сертификатов в оснастке MMC выберите Корень консоли на левой панели, затем разверните Сертификаты (локальный компьютер) .

   Появится список каталогов для каждого типа сертификата. Из каждого каталога сертификатов вы можете просматривать, экспортировать, импортировать и удалять его сертификаты.

  New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature ` -Subject "CN = P2SChildCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert: \ CurrentUser \ My" ` -Signer $ cert -TextExtension @ ("2.5.29.37 = {текст} 1.3.6.1.5.5.7.3.2 ")