Windows центр сертификации 2008 r2 для

Миграция центра сертификации (2003, 2008R2)

Продолжаем “избавляться” от Windows Server 2003. Сегодня расмотрим процедуру миграции центра сертификации (CA).

Note: имена исходного и целевого сервера различны. Наименование CA ,конечно, не меняется.

Шаг 1. Резервное копирование БД CA и его конфигурации

Заходим на Windows Server 2003 , откройте Certification Authority > Back up CA..

Ознакомьтесь со стартовым экраном визарда и нажмите Next

Ставим чекбоксы на Private key and CA certificate + Certificate database and certificate database log ,

определяем локацию для резервной копии CA и жмем Next

Определяем пароль для закрытого ключа и жмем Next

Проверяем результат и жмем Finish

Пуск – Выполнить (win+r) – Regedit

Переходим в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\

Правый клик на Configuration и жмем Export

Определяем локацию для сохранения reg-файла и жмем Save

На этом шаг 1 завершен. Перейдем к процессу удаления служб сертификации windows server 2003

Шаг 2. Удаление служб сертификации на исходном сервере

Переходим в Add or Remove Programs –> Add/Remove Windows Components и снимаем галку на Certificate Services

Жмем Next

Процесс удаления выполняется.

Иногда необходимо предоставить диск с Windows Server 2003/SP2 для успешной конфигурации (в моём случае было именно так)

Все прошло гладко. Жмем Finish

Шаг 3. Установка служб сертификации на целевом сервере

Server Manager –> Add or Remove Roles , выбираем Active Directory Certificate Services

Читаем доп.информацию, жмем Next

Для стандартной конфигурации выбираем базовый Certification Authority + Certification Authority Web Enrollment

Переносим Root CA Ent = делаем на целевом сервере Enterprise CA

Тут определяем что CA будет Root’овым

У нас есть Private Key (шаг 1),- поэтому выбираем Use Existing Private Key

На следующем этапе выбираем PFX-файл и импортируем его

Ознакомляемся и жмем Next

Компоненты IIS оставляем по умолчанию

Проверяем сводную информацию и жмем Install

Проверяем, что установка завершилась успешно и переходим к следующему этапу

Шаг 4. Восстановление CA на целевом сервере

Пуск – выполнить (win+r) – certsrv.msc

Правый клик на имени CA –> All Tasks –> Restore CA

Останавливаем службы ЦС

Жмем Next

Вставляем путь до резервной копии, галочки на Private key.. и Certificate database

Вводим пароль, определенный на шаге 1

Проверяем и жмем Finish

В появившемся окне жмем No. Службы запустим чуть позже

Переходим к reg-файлу и запускаем его

Опционально:

Перевыпустите Certificate Templates (если имеются custom)

certsrv.mmc –> certificate templates- правый клик –> new –> certificate template to issue

выбираем нужный шаблон и жмем OK

Проверка:

Процесс миграции CA в целом схож и может быть применим для миграции в других средах.

Источник



Установка центра сертификации

Эту процедуру можно использовать для установки служб сертификатов Active Directory (AD CS), чтобы можно было зарегистрировать сертификат сервера на серверах, на которых выполняется сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или оба.

• Перед установкой служб Active Directory сертификатов необходимо присвоить компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену. Дополнительные сведения о выполнении этих задач см. в разделе сетевого руководствапо Windows Server 2016 Core.
• Для выполнения этой процедуры компьютер, на котором устанавливается AD CS, должен быть присоединен к домену, где установлена служба домен Active Directory Services (AD DS).

Членство в группах "Администраторы предприятия " и "Администраторы домена корневого домена" является минимальным требованием для выполнения этой процедуры.

Чтобы выполнить эту процедуру с помощью Windows PowerShell, откройте Windows PowerShell и введите следующую команду и нажмите клавишу ВВОД.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

После установки AD CS введите следующую команду и нажмите клавишу ВВОД.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Установка служб сертификатов Active Directory

Если вы хотите использовать Windows PowerShell для установки служб Active Directory Certificate Services, см. раздел Install-адксцертификатионаусорити для командлетов и необязательных параметров.

Войдите в систему как член группы "Администраторы предприятия" и группу "Администраторы домена корневого домена".

Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты. Откроется мастер добавления ролей и компонентов.

На странице Перед началом работы нажмите кнопку Далее.

Страница Перед началом работы мастера добавления ролей и компонентов не отображается, если при предыдущем запуске мастера был установлен флажок Пропустить эту страницу по умолчанию.

На странице Выбор типа установки убедитесь, что выбрана Установка ролей или компонентов, затем нажмите кнопку Далее.

На странице Выбор целевого сервера убедитесь, что выбран пункт Выберите сервер из пула серверов. На странице Пул серверов проверьте, что выбран локальный компьютер. Щелкните Далее.

В окне Выбор ролей сервера в списке роли выберите Active Directory службы сертификации. Когда появится запрос на добавление необходимых компонентов, щелкните Добавить компоненты, а затем нажмите кнопку Далее.

В окне Выбор компонентов нажмите кнопку Далее.

В Active Directory службах сертификации прочтите предоставленные сведения и нажмите кнопку Далее.

На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить. Не закрывайте мастер в процессе установки. После завершения установки щелкните настроить Active Directory службы сертификатов на целевом сервере. Откроется мастер настройки служб сертификатов Active Directory. Прочтите учетные данные и при необходимости укажите учетные данные для учетной записи, которая является членом группы "Администраторы предприятия". Щелкните Далее.

В службах ролей щелкните центр сертификации, а затем нажмите кнопку Далее.

На странице тип установки убедитесь, что выбран параметр ЦС предприятия , и нажмите кнопку Далее.

На странице Укажите тип страницы ЦС убедитесь, что выбран параметр корневой ЦС , и нажмите кнопку Далее.

На странице Указание типа закрытого ключа убедитесь, что выбран параметр создать новый закрытый ключ , а затем нажмите кнопку Далее.

На странице шифрование для центра сертификации сохраните параметры по умолчанию для CSP (поставщик хранилища ключей RSA) и алгоритм хэширования (SHA2) и определите максимальную длину символов ключа для развертывания. Большие ключевые длины символов обеспечивают оптимальную безопасность; Однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями. Рекомендуется использовать значение по умолчанию 2048. Щелкните Далее.

На странице имя ЦС сохраните Предлагаемое общее имя ЦС или измените имя в соответствии с вашими требованиями. Убедитесь, что имя ЦС совместимо с соглашениями об именовании и целями, так как вы не можете изменить имя ЦС после установки служб AD CS. Щелкните Далее.

На странице срок действия в поле Укажите срок действия введите число и выберите значение времени (годы, месяцы, недели или дни). Рекомендуется использовать значение по умолчанию, равное пяти годам. Щелкните Далее.

На странице база данных ЦС в поле укажите расположения базы данных укажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов. Если указаны расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены с помощью списков управления доступом (ACL), которые не позволяют неавторизованным пользователям или компьютерам получать доступ к базе данных и файлам журналов ЦС. Щелкните Далее.

В окне Подтверждение нажмите кнопку настроить , чтобы применить параметры, а затем нажмите кнопку Закрыть.

Источник

Windows Server. Создание автономного центра сертификации.

Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

Для чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.

Для создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

ЦС предприятия

• Требует наличия ActiveDirectory
• Автоматическое подтверждение сертификатов
• Автоматическое развертывание сертификатов
• Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание

Изолированный (автономный) ЦС

• Не требует наличия ActiveDirectory
• Ручное подтверждение сертификатов
• Отсутствие возможности автоматического развертывания
• Запрос сертификатов только через Web-интерфейс

Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.

Windows Server 2003

Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск — Управление данным сервером — Добавить или удалить роль.
В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.

После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ — Установка компонентов Windows, где выбираем Службы сертификации.

Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.

Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

Windows Server 2008 R2

В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера — Роли — Добавить роли, в списке ролей выбираем Службы сертификации Active Directory.

В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.

Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.

Проверка работы ЦС

Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск — Администрирование — Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно:
Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv, где имя_сервера — имя сервера ЦС. Вы попадете на главную страницу центра сертификации.
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL, затем Загрузка сертификата ЦС или Загрузка сертификата ЦС и сохраняем сертификат в любое удобное место.

Теперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат, откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации, теперь данный ПК будет доверять всем сертификатам выданным данным ЦС.

Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата — расширенный запрос сертификата — Создать и выдать запрос к этому ЦС. Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать.

При попытке создать запрос сертификата вы можете получить следующее предупреждение:

В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX.

Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи — Выдать.

Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата, вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить.

Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.

По окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.

Источник

Установка корневого центра сертификации Microsoft CA на MS Windows Server 2008 R2

Шифрование, сертификаты, цифровые подписи плотно вошли в повседневную деятельность организаций. Ведущие игроки на рынке программного активно продвигают идеологию «безопасного интернета», требуя поддержки цифровых сертификатов.

Однако текущее положение в этой области не позволяет решать вопросы безопасного интернета без существенных финансовых затрат на приобретение SSL- сертификатов. При этом бесплатные сертификаты сервиса Let’s Encrypt покрывают лишь узкий спектр корпоративных потребностей в сертификатах. Например, не покрываются сертификаты для шифрования документов, почты, цифровых подписей, аутентификация клиентов. Для использования публичных сертификатов, выданных коммерческими CA вам необходимо иметь публичный домен. Получить сертификат для веб-сервера на имя domain.local от Let’s Encrypt технически невозможно. Именно поэтому актуальность частных корпоративных центров сертификации остаётся на очень высоком уровне.

Двухуровневая схема развертывания иерархии центра сертификации (ЦС) для небольших и средних предприятий является наиболее оптимальной, поскольку она позволяет обеспечить должный уровень безопасности и приемлемый уровень гибкости разделения ЦС на определённые функции.

Здесь корневой ЦС выпускает сертификаты для подчинённых ЦС, а уже подчинённый ЦС выдаёт сертификаты конечным потребителям. Это позволяет изолировать корневой ЦС от сети, что автоматически сводит к нулю шанс компрометации такого ЦС. Основное время корневой ЦС жизни может и должен проводить в выключенном состоянии. Включать его нужно только для обновления собственного сертификата, подчинённого ЦС или для публикации нового списка отозванных сертификатов (CLR). Другим достоинством двухуровневой иерархии является улучшенная гибкость в разбиении подчинённых ЦС на классы, например, для разных групп потребителей или отдельно для рабочих станций, отдельно для пользователей.

Также можно выделить один ЦС для выдачи сертификатов с повышенными требованиями к сертификатам (например, сертификаты для аутентификации и цифровой подписи) и ЦС общего назначения.

Типовая схема двухуровневой схемы центра сертификации (ЦС):

Установка корневого центра сертификации Microsoft CA на MS Windows Server 2008 R2

Для того чтобы установить корневой центр сертификации, необходимо:

1. Создать файл политик центра сертификации.
2. Установить автономный корневой Центр сертификации (со службой сертификации и службой регистрации в центре сертификации через Интернет) MS Windows Server 2008 R2. Настроить службу на автоматический выпуск сертификатов.
3. Настроить службу на автоматический выпуск сертификатов.
4. Включить аудит работы службы, сделать настройки безопасности.
5. Добавить ссылки на точку распространения отозванных сертификатов и корневого сертификата центра сертификации, которые будут добавляться в каждый выпущенный сертификат.

Создание файла политик CAPolicy.inf корневого ЦС

Считаем, что для самоподписанного сертификата корневого Центра сертификации нет необходимости указания точки распределения списка отозванных сертификатов (расширение CDP). Для этого в файле политик значение CRL Distribution Point (точка распределения списка отозванных сертификатов) сделать пустым.

Содержимое файла CAPolicy.inf будет следующим:

[Version] Signature=”$Windows NT$”

Установка службы сертификации из состава MS Windows

Установка службы сертификации производится с использованием Мастера компонентов Windows в следующей последовательности:

1. Открыть окно Панели управления, выполнив команды Пуск , Панель управления .
2. В окне Панели управления открыть пункт Администрирование и выбрать Диспетчер сервера .
3. Выбрать пункт Роли . В правой части окна нажать Добавить роли и выделить пункт Службы сертификации Active Directory . В следующем окне мастера выбрать пункты Центр Сертификации — и Служба регистрации в центре сертификации через Интернет .

OU= название отдела

На сообщение о расширенной кодировке имен выбираем Да .

Настройка корневого Центра сертификации

Запускаем центр сертификации: Пуск\Все программы\Администрирование\Центр сертификации.

Просмотреть настройки Центра сертификации — вызвать контекстное меню и выбрать Свойства .

В окне можно просмотреть выпущенный самоподписанный сертификат корневого Центра сертификации и проверить, какая информация легла в сертификат из файла политик CAPolicy.inf и при установке Центра сертификации.

Настроить Модуль политики на выдачу сертификатов в автоматическом режиме. Установить переключатель в строку Следовать параметрам…

Перейти в закладку Аудит . Включить протоколирование событий безопасности. Активировать события безопасности, кроме Сохранение и восстановление архивированных ключей и Запуск и остановка службы сертификатов Active Directory

Перейди в закладку Безопасность . Разрешите Администратору запрашивать сертификаты:

Настройка публикации списка отозванных сертификатов

Перейти в закладку Расширения . В меню Выберите расширение выбрать Точка распространения списка отзыва (CDP). Удалить точки распространения, кроме C:\Windows .Добавить путь, например, http://servername /Public/Certname.crl , где servername – сервер, на котором будет настроено публичное хранилище, а Certname – название сертификата.

Включить настройки Включать в CDP-расширение выданных сертификатов и Включать в расширения IDP выданных CRL . Перезапустить центр сертификации.

В дополнение к CDP, необходимо сконфигурировать дополнение, включающее информацию о локализации сертификата ЦС AIA. Для этого в поле Выберите расширение перейти к Authority Information Access (AIA) . Удалить доступы к сведениям о центрах сертификации, кроме C:\Windows…. Добавить путь, например, http://servername/Public/Certname.ce , где servername – сервер, на котором будет настроено публичное хранилище, а Certname – название сертификата.

Включить настройки Включать в AIA-расширение выданных сертификатов . Перезапустить Центр сертификации.

Поскольку значения дополнений CDP и AIA изменены, то для учета изменений необходимо выпустить и опубликовать CRL. Для публикации CRL необходимо в дереве консоли Центра сертификации нажать правой кнопкой мыши на узел Отозванные сертификаты . В появившемся меню выбрать Все задачи — Публикация

Оставить по умолчанию тип публикуемого CRL – Новый базовый CRL. Нажать кнопку ОК .

Для просмотра и изменения параметров публикации CRL в окне контекстного меню выберем Свойства .

Посмотреть выпущенные списки отозванных сертификатов можно в закладке Просмотр списков отзыва сертификатов (CRL).

Списки отозванных сертификатов размещены в папке C:\Windows\System32\Certsrv\CertEnroll , куда по умолчанию публикуются списки.

Источник

Установка Служб сертификации

1. Откройте Диспетчер сервера.
2. В левой части окна щелкните по названию пункта Роли.
3. В правой части окна, в секции Сводка по ролям щелкните по ссылке Добавить роли.
   
4. Слева в меню выберите пункт Роли сервера.
5. В правой части окна установите флажок Службы сертификации ActiveDirectory. Нажмите на кнопку [Далее].
   
6. Ознакомьтесь с предупреждением о невозможности изменить имя и домен в конфигурации компьютера после установки центра сертификации (ЦС). Нажмите на кнопку [Далее].
   
7. Укажите необходимые компоненты и нажмите на кнопку [Далее].
8. Установите флажок Центр сертификации. Нажмите на кнопку [Далее].
   
9. Установите переключатель рядом с названием типа установки и нажмите на кнопку [Далее].
   
10. Установите переключатель рядом с названием типа ЦС. В данном примере выбирается Корневой ЦС, поскольку это будет основной Центр Сертификации в домене. Нажмите на кнопку [Далее].
    
11. Если необходимо использовать новый закрытый ключ, то установите переключатель в положение Создать новый закрытый ключ. Нажмите на кнопку [Далее].
    
12. В раскрывающемся списке Выберите поставщика служб шифрования (CSP) выберите криптопровайдера.
13. В раскрывающемся списке Длина ключа (знаков) выберите длину открытого ключа.
14. Щелкните по названию алгоритма хеширования и нажмите на кнопку [Далее].
    

В окне для задания имени ЦС заполните необходимые поля и нажмите на кнопку [Далее].

Сокращение	Значение
O	Организация (Organization)
OU	Подразделение (Organization Unit)
L	Город (Location)
S	Область (State or province)
C	Страна (Country/region)
E	Адрес электронной почты (E-mail)

Выберите срок действия сертификата для создаваемого ЦС. Нажмите на кнопку [Далее].

Добавление шаблонов сертификатов в Центр Сертификации

Для добавления шаблонов сертификатов:

1. Откройте Панель управления.
2. Два раза щелкните по названию пункта Администрирование.
3. Два раза щелкните по названию пункта Центр сертификации.
   
4. В окне certsrv щелкните правой кнопкой мыши по названию пункта Шаблоны сертификатов, выберите пункт Создать и подпункт Выдаваемый шаблон сертификата.
   
5. В окне Включение шаблонов сертификатов щелкните правой кнопкой мыши по названию шаблона Агент регистрации.
   
6. Чтобы выбрать еще один шаблон, удерживая клавишу [Ctrl], щелкните по названию шаблона Пользователь со смарт-картой. Нажмите на кнопку [OK].
   
7. Закройте окно certsrv.

Выписка сертификатов пользователю Administrator с помощью mmc-консоли

Для выписки сертификатов пользователю Administrator с помощью mmc-консоли:

1. Нажмите на кнопку [Пуск] и выберите пункт меню Выполнить.
2. Введите команду mmc, нажмите на кнопку [OK].
   
3. В окне Консоль1 откройте меню Файл и щелкните по названию пункта меню Добавить или удалить оснастку.
   
4. В левой части окна Добавление и удаление оснастки щелкните по названию оснастки Сертификаты, нажмите на кнопку [Добавить].
   
5. Установите переключатель в положение моей учетной записи пользователя. Нажмите на кнопку [Готово].
   
6. В окне Добавление и удаление оснастки нажмите на кнопку [ОК].
   
7. В левой части окна Консоль 1 рядом с названием пункта Личное щелкните по значку .
8. Щелкните по названию подпункта Сертификаты.
9. В правой части окна щелкните правой кнопкой мыши на свободном месте окна, выберите пункт Все задачи и подпункт Запросить новый сертификат.
   
10. В окне Регистрация сертификатов ознакомьтесь с представленной информацией. Нажмите на кнопку [Далее].
    
11. Нажмите на кнопку [Далее].
    
12. Установите флажок в строке с названием типа сертификата Администратор. Нажмите на кнопку [Заявка].
    
13. В окне Регистрация сертификатов нажмите на кнопку [Готово].
    
14. В левой части окна Консоль1 рядом с названием категории Личное щелкните левой кнопкой по значку .
15. Щелкните по названию подпункта Сертификаты.
16. В правой части окна щелкните правой кнопкой мыши на свободном месте окна, выберите пункт Все задачи и подпункт Запросить новый сертификат.
    
17. В окне Регистрация сертификата ознакомьтесь с представленной информацией и нажмите на кнопку [Далее].
    
18. Нажмите на кнопку [Далее].
    
19. Установите флажок в строке с названием сертификата Агент регистрации. Нажмите на кнопку [Заявка].
    
20. В окне Регистрация сертификатов нажмите на кнопку [Готово].
    
21. Закройте окно Консоль1.

Если необходимо сохранить все изменения, то нажмите на кнопку [Да], в противном случае нажмите на кнопку [Нет]. При этом не сохранятся только настройки консоли, выписанные сертификаты будут сохранены в системе.

Выписка сертификатов пользователям с помощью mmc-консоли

Для выписки сертификатов пользователю с помощью mmc-консоли:

1. Откройте консоль управления сертификатами (см. пп. 1-8 предыдущей инструкции ).
   
2. В левой части окна Консоль1 рядом с названием пункта Личное щелкните левой кнопкой мыши по значку .
3. Щелкните правой кнопкой мыши по названию подпункта Сертификаты и выберите пункт Все задачи.
4. Выберите пункт Дополнительные операции и подпункт Зарегистрироваться от имени.
   
5. В окне Регистрация сертификатов ознакомьтесь с представленной информацией и нажмите на кнопку [Далее].
   
6. Нажмите на кнопу [Далее].
   
7. Нажмите на кнопку [Обзор. ].
   
8. Выберите из списка сертификат типа Агент регистрации, выписанный ранее. Нажмите на кнопку [OK].
   
9. Нажмите на кнопку [Далее].
   
10. Установите переключатель в строке с названием типа сертификата Пользователь со смарт-картой.
    
11. Нажмите на кнопку [Подробности]. По умолчанию в Windows Server 2008 R2 для выписки сертификатов установлен Microsoft CSP. Для поддержки работы устройств Рутокен необходимо использовать криптопровайтера компании Актив.
12. Нажмите на кнопку [Свойства].
    
13. В окне Свойства сертификата перейдите на вкладку Закрытый ключ и нажмите на кнопку .
14. Установите флажок AktivruToken CSP и снимите флажок MicrosoftStrongCryptographicProvider. Нажмите на кнопку [OK].
    
15. В окне Регистрация сертификатов нажмите на кнопку [Далее].
16. Нажмите на кнопку [Обзор. ].
    
17. В поле Введите имена выбранных объектов укажите имя пользователя, для которого будет выписан сертификат типа Пользователь со смарт-картой, и нажмите на кнопку [Проверить имена].
    
18. Нажмите на кнопку [OK].
    
19. В поле Имя пользователя или псевдоним отобразится имя выбранного пользователя. Нажмите на кнопку [Заявка].
    
20. Подключите устройство Рутокен к компьютеру.
21. В поле PIN-код введите PIN-код пользователя устройства Рутокен и нажмите на кнопку [OK]. В результате сертификат типа Пользователь со смарт-картой выписан и помещен на устройство Рутокен.
    
22. Чтобы просмотреть параметры выписанного сертификата нажмите на кнопку .
23. Далее нажмите на кнопку [Просмотр сертификата].
24. Чтобы закрыть окно Сертификат нажмите на кнопку [ОК].
    
25. Аналогичным способом выпишите сертификаты для других пользователей. Пользователю Администратор так же необходимо выписать сертификат типа Пользователь со смарт-картой.

На этом настройка Служб сертификации и выдача сертификатов пользователям завершены.

Источник