Пошаговое руководство по расширенному управлению сертификатами

Содержание
  1. Certmgr.msc или диспетчер сертификатов в windows 10/8/7
  2. Важные замечания
  3. Запуск консоли
  4. Импорт сертификатов
  5. Об авторе
  6. Обновление сертификатов цс
  7. Общий план развёртывания
  8. Открываем «хранилище сертификатов»
  9. Подготовка веб-сервера
  10. Пошаговое руководство. просмотр сертификатов с помощью оснастки mmc how to: view certificates with the mmc snap-in
  11. Предварительная конфигурация
  12. Предустановочная конфигурация
  13. Просмотр сертификата
  14. Просмотр сертификатов в оснастке mmc view certificates in the mmc snap-in
  15. Просмотр сертификатов для локального устройства to view certificates for the local device
  16. Просмотр сертификатов с помощью средства диспетчера сертификатов view certificates with the certificate manager tool
  17. Прочие настройки
  18. Работа с сертификатами через консоль
  19. Резервное копирование
  20. Рекомендации
  21. Скрипт настройки
  22. Словарь терминов
  23. Способ 1: окно «выполнить»
  24. Способ 2: панель управления
  25. Требования и предварительные условия
  26. Удаление сертификатов
  27. Управление сертификатами компьютеров
  28. Управление сертификатами пользователей
  29. Установка издающего цс
  30. Установка компонента цс
  31. Установка корневого цс
  32. Шаблоны сертификатов
  33. Экспорт сертификатов
  34. Итоговая настройка

Certmgr.msc или диспетчер сертификатов в windows 10/8/7

Диспетчер сертификатов или Certmgr.msc в Windows позволяет просматривать сведения о ваших сертификатах, экспортировать, импортировать, изменять, удалять или запрашивать новые сертификаты. Корневые сертификаты – это цифровые документы, используемые для управления сетевой аутентификацией и обменом информацией.

Важные замечания

Наименования компаний, организаций, продуктов, людей, и событий, используемые в качестве примера в данном руководстве, являются вымышленными. Все совпадения с реальными компаниями, организациями, продуктами, людьми или событиями являются непреднамеренными и случайными.

Описана базовая инфраструктура, разработанная для использования в частных сетях. Вымышленное наименование компании и DNS-имя, используемые в базовой инфраструктуре, не зарегистрированы для использования в сети Интернет. Пожалуйста, не используйте их в публичных сетях или в сети Интернет.

Служба каталогов Microsoft Active Directory, как способ организации данной базовой инфраструктуры, приведена только в целях демонстрации возможностей ОС Microsoft Windows 2000 при работе с Active Directory. Данный пример не является руководством по настройке Active Directory для какой-либо организации. Для получения информации по настройке необходимо обратиться к соответствующей документации по Active Directory.

Обсуждение статьи на форуме

Запуск консоли

Для запуска консоли выполните следующие действия:

  1. Выберите меню «Пуск» → «Выполнить» (или на клавиатуре одновременно нажмите на клавиши «Win R»).
  2. Введите mmc и нажать на кнопку «ОК».
    Пошаговое руководство по расширенному управлению сертификатами
  3. Выберите меню «Файл» → «Добавить или удалить оснастку».
    Пошаговое руководство по расширенному управлению сертификатами
  4. Выберите из списка оснастку «Сертификаты» и нажмите на кнопку «Добавить».
    Пошаговое руководство по расширенному управлению сертификатами
  5. В открывшемся окне выберите «Моей учетной записи пользователя» и нажмите на кнопку «Готово».
    Пошаговое руководство по расширенному управлению сертификатами
  6. Выберите из списка справа добавленную оснастку и нажмите на кнопку «ОК».
    Пошаговое руководство по расширенному управлению сертификатами

Импорт сертификатов

Вы можете восстановить сертификаты и соответствующие им закрытые ключи из файла. Для этого:

Об авторе

Пошаговое руководство по расширенному управлению сертификатамиВадим Поданс

— специалист в области автоматизации PowerShell и Public Key Infrastructure, Microsoft MVP: Cloud and Datacenter Management с 2009 года и автор модуля PowerShell PKI. На протяжении 9 лет в своём блоге освещает различные вопросы эксплуатации и автоматизации PKI на предприятии. Статьи Вадима о PKI и PowerShell можно найти на его

Обновление сертификатов цс

Периодически необходимо обновлять сертификаты ЦС. Рассмотрим несколько аспектов, связанных с обновлением сертификатов ЦС.

Периодичность обновления сертификата ЦС

Это делается в следующих случаях:

Первый вопрос, если всё идёт штатно, за какое время до истечения срока действия сертификата ЦС его нужно обновлять?

Сертификат издающего ЦС должен обновляться за максимальный срок действия издаваемых сертификатов. В нашем случае срок действия сертификата издающего ЦС 15 лет, а максимальный срок действия издаваемых сертификатов 5 лет (см. конфигурационную таблицу).

Порядок обновления ЦС

В нашей двухуровневой иерархии сертификаты корневого и издающего ЦС имеют одинаковый срок действия. Поэтому, когда вы принимаете решение об обновлении сертификата любого ЦС, необходимо обновлять их вместе. Первым обновляется сертификат корневого ЦС, затем сертификат издающего ЦС.

Генерация ключей при обновлении сертификатов ЦС

При обновлении сертификатов ЦС вам предлагается две опции: использовать существующую ключевую пару или сгенерировать новую:

В диалоговом окне обновления ключевой пары приведены рекомендации Microsoft по выбору ключевой пары. Однако, практика показывает, что эти рекомендации устарели. Следует всегда генерировать новую ключевую пару. При использовании нескольких сертификатов ЦС клиентский модуль построения цепочки сертификатов иногда может ошибиться и выбрать неправильный сертификат. В базе знаний Microsoft отмечены такие проблемы. Примеры статей:

При генерации новой ключевой пары для каждого сертификата будет гарантирован только один путь к корневому сертификату и модуль построения цепочек сертификатов уже не ошибётся.

Общий план развёртывания


Для развёртывания службы сертификатов нам потребуется четыре машины с Windows Server 2021, которые будут выполнять следующие функции:

  1. Контроллер домена — необходим для функционирования домена Active Directory;
  2. Веб-сервер — будет обеспечивать доступ к сертификатам ЦС и спискам отзывов для клиентов;
  3. Корневой ЦС — будет выполнять функции корневого ЦС;
  4. Подчинённый ЦС — будет выполнять функции издающего ЦС.

Развёртывание PKI будет проходить поэтапно на каждом сервере в том порядке, в котором они указаны выше. Подготовка контроллера домена будет сводиться к обеспечению функций Active Directory, GPO и учётных записей.

Открываем «хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Подготовка веб-сервера

На веб-сервере нам потребуется выполнить следующее: установить службу IIS (если ещё не установлена), создать общую папку и сконфигурировать веб-сайт на использование этой папки.

Для установки службы IIS можно воспользоваться следующей командой:

Install-WindowsFeature -Name Web-Server, Web-WebServer -IncludeManagementTools

Согласно нашей конфигурационной таблице (см. часть 2), для хранения сертификатов ЦС и списков отзыва нам потребуется общая папка с сетевым именем PKI по следующему пути: C:InetPubwwwrootPKIdata

New-Item -ItemType Directory -Path C:InetPubwwwroot -Name PKIdata -Force
New-SmbShare -Path C:inetpubwwwrootPKIdata -Name PKI -FullAccess everyone


После этого нужно выдать права NTFS на запись в эту папку для группы Cert Publishers.

Про сертификаты:  Ошибка при инициализации криптопровайдера (0x8009001f) - УЦ АЙТИКОМ

Пошаговое руководство. просмотр сертификатов с помощью оснастки mmc how to: view certificates with the mmc snap-in

При создании защищенного клиента или службы можно использовать сертификат в качестве учетных данных. When you create a secure client or service, you can use a certificate as the credential. Например, общий тип учетных данных — это сертификат X. 509, который создается с помощью X509CertificateInitiatorClientCredential.

Существует три разных типа хранилищ сертификатов, которые можно проверить с помощью консоли управления (MMC) в системах Windows: There are three different types of certificate stores that you can examine with the Microsoft Management Console (MMC) on Windows systems:

Предварительная конфигурация

Предварительные конфигурационные файлы необходимы для ряда настроек, которые невозможно задать во время установки компонента (ни при помощи графического интерфейса, ни при помощи командной строки или PowerShell). К ним обычно относятся настройки расширений сертификата ЦС.

Например, для настройки расширения сертификата Certificate Policies, необходимо использовать предварительный конфигурационный файл, в котором настраиваются параметры расширения. Для Microsoft ADCS таким файлом является файл CAPolicy.inf, который должен быть расположен по следующему пути: %windir%CAPolicy.inf. С синтаксисом этого файла можно ознакомиться в следующей статье:

. Поскольку никаких специфичных или нестандартных настроек в сертификате корневого ЦС мы делать не будем, поэтому и предварительный конфигурационный файл сейчас нам не потребуется.

Предустановочная конфигурация

Если для корневого ЦС предустановочный конфигурационный файл нам не требовался, то для издающего ЦС он понадобится. В нём мы настроим расширения Certificate Policies и Basic Constraints для сертификата ЦС. Если с политиками всё понятно, то в расширении Basic Constraints мы запретим выдачу сертификатов другим ЦС с издающего ЦС, поскольку у нас двухуровневая иерархия и добавление новых уровней только усложняет нашу структуру и увеличивает время, затрачиваемое на проверку сертификатов клиентами.

  1. Контроллеры домена практически мгновенно обнаруживают появление ЦС в лесу и даже при отключённой политике автоматической выдачи сами запрашивают себе сертификаты.
  2. Администраторы сами должны определять какие шаблоны будут использовать в организации.

Поэтому мы сконфигурируем ЦС так, что список шаблонов к выдаче будет пустым. Это возможно сделать только через CAPolicy.inf. В нашем случае он будет иметь следующее содержимое:

Просмотр сертификата

Возможно, Вам понадобится просмотреть Ваши сертификаты в хранилище сертификатов. Для этого:

1.Откройте консоль управления сертификатами «Certificates». В левой области раскройте хранилище сертификатов, в котором содержатся те сертификаты, которые Вам необходимо просмотреть.
2.Откройте папку Сертификаты (Certificates), чтобы просмотреть находящиеся в этом хранилище сертификаты.
3. Щелкните правой кнопкой мыши на сертификате, который Вам необходимо просмотреть, и выберите Открыть (Open) (Вы также можете просмотреть сертификат, дважды щелкнув по нему).

Откроется диалоговое окно сертификата, содержащее три вкладки.

•    На вкладке Общие (General) представлены общие сведения о сертификате. 

•    На вкладке Состав (Details) отображается содержимое полей сертификата, соответствующего стандарту X.509, а также его расширения и свойства. Вы можете нажать кнопку Свойства…(Edit Properties) для изменения полей Понятное имя (Friendly Name) и Описание (Description). Вы также можете указать назначение сертификата. 

•    На вкладке Путь сертификации (Certification Path) отображен путь сертификации, который указывает на источник, из которого был получен сертификат. 

Просмотр сертификатов в оснастке mmc view certificates in the mmc snap-in

В следующей процедуре показано, как проверить магазины на локальном устройстве, чтобы найти соответствующий сертификат: The following procedure demonstrates how to examine the stores on your local device to find an appropriate certificate:

В меню Пуск выберите пункт выполнить и введите MMC. Select Run from the Start menu, and then enter mmc.

Откроется консоль MMC. The MMC appears.

В меню файл выберите команду Добавить или удалить оснастку. From the File menu, select Add/Remove Snap In.

Откроется окно Добавление или удаление оснасток . The Add or Remove Snap-ins window appears.

В списке Доступные оснастки выберите Сертификаты, а затем щелкните добавить. From the Available snap-ins list, choose Certificates, then select Add.

В окне оснастки «сертификаты » выберите учетная запись компьютера, а затем нажмите кнопку Далее. In the Certificates snap-in window, select Computer account, and then select Next.

Просмотр сертификатов для локального устройства to view certificates for the local device

В меню Пуск выберите пункт выполнить , а затем введите certlm. msc. Select Run from the Start menu, and then enter certlm.msc.

Откроется средство диспетчера сертификатов для локального устройства. The Certificate Manager tool for the local device appears.

Для просмотра сертификатов в разделе Сертификаты — локальный компьютер в левой области разверните каталог для типа сертификата, который нужно просмотреть. To view your certificates, under Certificates — Local Computer in the left pane, expand the directory for the type of certificate you want to view.

Просмотр сертификатов с помощью средства диспетчера сертификатов view certificates with the certificate manager tool

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов. You can also view, export, import, and delete certificates by using the Certificate Manager tool.

Прочие настройки

После того как издающий ЦС установлен и сконфигурирован, убедитесь, что всё прошло без ошибок:

Когда основные параметры проверены, необходимо убедиться в правильной связи иерархии ЦС и доступности всех внешних файлов для клиентов. Для этого на сервере ЦС (а лучше, на рабочей станции, где установлены средства удалённого администрирования ЦС) необходимо запустить оснастку

Enterprise PKI Health

(pkiview.msc). Оснастка автоматически построит текущую иерархию и проверит доступность всех путей для скачивания сертификатов ЦС и списков отзыва. Никаких ошибок быть не должно. Если есть ошибка, необходимо её точно идентифицировать и устранить. В случае успешной настройки оснастка будет выглядеть следующим образом для корневого ЦС:

Про сертификаты:  Документы, необходимые при подаче заявления на путевку на бумажном носителе

И для издющего ЦС:

Если вся итоговая конфигурация соответствует ожидаемым значениям и оснастка Enterprise PKI Health не показывает ошибок, это может судить о том, что PKI установлена верно.

Работа с сертификатами через консоль

Сертификаты, которые используются в работе системы, можно добавить или удалить c помощью консоли mmc из следующих хранилищ:

  • «Другие пользователи» — хранилище сертификатов контролирующих органов.
  • «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» — хранилища сертификатов Удостоверяющего Центра.

Установка личных сертификатов производится только с помощью программы КриптоПро.

Резервное копирование


Вопросы резервного копирования и восстановления после отказа являются отдельной темой. Здесь я лишь отмечу основные моменты, которые следует учесть при планировании стратегии резервного копирования.

Microsoft Active Directory Certificate Services предоставляет инструменты для резервного копирования компонентов ЦС:

С ними можно сделать резервную копию для ключевой пары ЦС и базы данных. Однако эти инструменты не позволяют делать резервную копию настроек ЦС. Эти операции необходимо выполнять вручную. Все настройки ЦС находятся в реестре по следующему пути:

HKLMSystemCurrentControlSetServicesCertSvc

При резервном копировании всегда экспортируйте данную ветку реестра. При восстановлении ЦС сохранённый REG файл импортируется обратно в реестр после установки роли ЦС.

Полный список элементов ЦС, который подлежит обязательному резервному копированию выглядит так:

Этот список не зависит от принятой в вашей компании стратегии резервного копирования, он всегда должен быть включён в список резервных копий.

Рекомендации

После того, как все ЦС установлены, сконфигурированы и их работоспособность проверена, можно приступать к их эксплуатации. В этом разделе я дам несколько полезных рекомендаций, которых следует придерживаться, чтобы предостеречь себя от возможных потенциальных проблем во время эксплуатации PKI.

Скрипт настройки


Для конфигурирования настроек ЦС мы будем использовать BATCH скрипт с использованием утилиты certutil.exe:

Словарь терминов

В этой части серии использованы следующие сокращения и аббревиатуры:

Способ 1: окно «выполнить»

  1. При помощи нажатия комбинации клавиш «Win R» попадаем в окошко «Выполнить». Вводим в командную строку certmgr.msc .

Цифровые подписи хранятся в папке, которая находятся в директории «Сертификаты – текущий пользователь». Здесь сертификаты находятся в логических хранилищах, которые разделены по свойствам.

В папках «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» находится основной массив сертификатов Виндовс 7.

Чтобы посмотреть информацию о каждом цифровом документе, наводим на него и кликаем ПКМ. В открывшемся меню выбираем

«Открыть»

Переходим во вкладку «Общие». В разделе «Сведения о сертификате» будет отображено предназначение каждой цифровой подписи. Также представлена информация «Кому выдан», «Кем выдан» и сроки действия.

Способ 2: панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

    Открываем «Пуск» и переходим в «Панель управления».

В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».

В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Требования и предварительные условия

Для выполнения действий, описанных в данном руководстве необходимо, чтобы выполнялись следующие условия:

Использование данного пошагового руководства также предполагает, что Вы выполнили все действия, описанные в Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 ServerStep-by-Step to a Common Infrastructure for Windows 2000 Server Deployment (EN).

В документах, описывающих базовую инфраструктуру, определены особые требования к аппаратному и программному обеспечению. В случае, если Вы не используете базовую инфраструктуру, то для использования данного документа Вам необходимо будет внести соответствующие изменения.

Самую последнюю информацию о требованиях к оборудованию, совместимости серверов, клиентов и периферийных устройств Вы можете получить на странице проверки совместимости оборудования и программного обеспечения Windows 2000Windows 2000 Product Compatibility (EN).

Использование данного руководства также предполагает, что Вы выполнили все действия, описанные в:

Если Вы незнакомы с оснастками консоли MMC, рекомендуется также выполнить действия, описанные в:

Удаление сертификатов

Чтобы удалить сертификаты с помощью консоли mmc (например, из хранилища Другие пользователи), выполните следующие действия:

  1. Раскройте ветку «Сертификаты — текущий пoльзователь» → «Другие пользователи» → «Сертификаты». В правой части окна отобразятся все сертификаты, установленные в хранилище «Другие пользователи».
  2. Выделите сертификат, нажмите на нем правой кнопкой мыши и выберите «Удалить».
    Пошаговое руководство по расширенному управлению сертификатами

Управление сертификатами компьютеров

Оснастку Сертификаты (Certificates) консоли MMC также можно использовать для управления сертификатами компьютеров. Для этого:

Управление сертификатами пользователей

В данном разделе описывается использование оснастки Сертификаты (Certificates) консоли MMC для управления сертификатами.

Для запуска оснастки Сертификаты (Certificates) консоли MMC:

Установка издающего цс

Как и в случае с корневым ЦС, установка издающего ЦС включает в себя четыре этапа:

  1. Подготовка предустановочных конфигурационных файлов (CAPolicy.inf);
  2. Установка компонента ЦС;
  3. Выполнение постустановочной конфигурации;
  4. Проверка установки и конфигурации.

Установка компонента цс

Прежде всего необходимо добавить установочные компоненты для AD CS:

Install-WindowsFeature AD-Certificate, ADCS-Cert-Authority -IncludeManagementTools

После этого посмотрим на установочную таблицу, чтобы определить параметры установки:

В таблице я выделил только те параметры, которые задаются в процессе установки. Остальные параметры будут настраиваться после установки. Исходя из этих данных сформируем параметры для командлета

Install-AdcsCertificationAuthority -CACommonName "Contoso Lab Issuing Certification authority" `
    -CADistinguishedNameSuffix "OU=Division Of IT, O=Contoso Pharmaceuticals, C=US" `
    -CAType EnterpriseSubordinateCa `
    -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
    -KeyLength 4096 `
    -HashAlgorithmName SHA256

После выполнения этой команды будет выведено сообщение о том, что установка ЦС не завершена и для её завершения необходимо отправить сгенерированный запрос (находится в корне системного диска) на вышестоящий ЦС и получить подписанный сертификат. Поэтому находим файл с расширением «.req» в корне системного диска и копируем его на корневой ЦС и на корневом ЦС выполняем следующие команды:

Про сертификаты:  7) Шесть Сигма Сертификация -

Установка корневого цс

Фактическая установка ЦС будет включать в себя несколько этапов:

  1. Подготовка предустановочных конфигурационных файлов (CAPolicy.inf);
  2. Установка компонента ЦС;
  3. Выполнение постустановочной конфигурации;
  4. Проверка установки.

Перед установкой корневого ЦС, необходимо ещё раз вернуться к конфигурационным таблицам:

В таблице я выделил только те параметры, которые задаются до и в процессе установки. Остальные параметры будут настраиваться после установки.

Шаблоны сертификатов

Наряду с установкой издающего ЦС, в Active Directory устанавливается набор уже готовых шаблонов сертификатов. Их можно просмотреть в оснастке

Certificate Templates MMC

(certtmpl.msc). Рекомендации по шаблонам сертификатов:

Использование готовых шаблонов сертификатов

Я рекомендую использовать их копии, даже если вы не планируете вносить в них изменения. Для создания копии шаблона выберите в списке подходящий шаблон, в контекстном меню выберите Duplicate Template и создайте его копию. Целесообразно в имя шаблона включить название компании, чтобы отличить предустановленный шаблон от вами созданного.

Версия шаблона

Начиная с Windows Server 2021, интерфейс создания шаблона несколько изменился. В самом начале появляется окно с выбором версии ОС на ЦС и предполагаемом клиенте:

Если у вас используются современные версии ОС (например, Windows 7 и выше), может появиться желание выставить настройки на максимум. Если вы не уверены, что ваше приложение совместимо с CNG (Cryptography Next Generation), следует использовать настройки, которые приведены на картинке.

Если вы выставляете ОС сервера и клиента выше, чем Windows Server 2003/Windows XP, шаблон будет использовать криптографию несовместимую с этими приложениями. Например, большинство приложений, написанных на .NET, семейство продуктов System Center, службы федераций (AD FS) и т.д. не смогут использовать ключи таких сертификатов (но проверять смогут).

Успешно такие сертификаты смогут использовать приложения, которые используют не .NET, а нативные функции CryptoAPI. К таким приложениям можно отнести, например, IIS, Remote Desktop Services.Поля Subject и Subject Alternative Names

Существует два метода заполнения поля Subject и расширения Subject Alternative Names: автоматический и ручной. Это настраивается в настройках шаблона сертификата, во вкладке Subject Name.

Если выбран второй пункт (как на картинке), ЦС игнорирует имя субъекта из запроса сертификата и заполняет эти поля из свойств учётной записи пользователя или устройства, которое запрашивает сертификат. В ряде случаев это не подходит (например, сертификаты для внутренних веб-сайтов) и имя субъекта заполняется из значения в запросе сертификата.

Это необходимо затем, что имя для сертификата никак не проверяется. Если этот момент не контролировать, пользователь может запросить сертификаты на любое имя и скомпрометировать весь лес Active Directory. Вряд ли вы позволите рядовому пользователю получить сертификат на имя администратора.

После требования одобрения запроса менеджером сертификатов на ЦС, каждый запрос с явным указанием субъекта сертификата будет попадать на ЦС в папку Pending Requests и не будет подписан, пока оператор ЦС не изучит его содержимое и не примет решение о выпуске. Т.е. каждый такой запрос необходимо вручную проверять на содержимое и убедиться, что в запросе указаны верные и допустимые имена. В противном случае запрос должен быть отклонён.

Права на шаблоны сертификатов

Шаблоны сертификатов в Active Directory хранятся в разделе configuration naming context, который реплицируется между всеми контроллерами домена в лесу. Поэтому для назначения прав на шаблоны сертификатов можно использовать только глобальные и универсальные группы. Избегайте назначения прав отдельным пользователям и устройствам.

Экспорт сертификатов

Вы можете осуществлять резервное копирование важных сертификатов и соответствующих им закрытых ключей, или перенос их на другой компьютер.

Примечание. Для того, чтобы имелась возможность экспорта закрытых ключей и сертификатов, эта опция должна быть выбрана пользователем при подаче запроса на сертификат с помощью веб-страницы. Для получения дополнительной информации об этом обратитесь к Пошаговому руководству по использованию веб-страниц служб сертификаци (A Step-by-Step Guide to Certificate Services Web Pages) (EN).

Для экспорта сертификатов:

1.Щелкните правой кнопкой мыши по сертификату/сертификатам, которые Вам необходимо экспортировать.
2.Из контекстного меню выберите Все задачи (All Tasks) и нажмите Экспорт… (Export), чтобы запустить Мастер экспорта сертификатов (Certificate Export Wizard). Нажмите кнопку Далее (Next).
3. В случае, если для сертификата, который Вам необходимо экспортировать, в системе существует соответствующий закрытый ключ, Вы можете указать, что его нужно экспортировать вместе с сертификатом.

Примечание. Если Вам необходимо экспортировать закрытый ключ, то единственным возможным форматом сертификата для этой цели будет Файл обмена личной информацией (Personal Information Exchange) PKCS#12.

4. Выберите формат экспортируемого файла из предложенных вариантов, как это показано ниже на Рисунке 2: 
Пошаговое руководство по расширенному управлению сертификатами
Увеличить рисунок

Рисунок 2 – Выбор формата экспортируемого файла

5.Нажмите кнопку Далее (Next). В случае, если Вы выбрали Файл обмена личной информацией—PKCS #12 (*.pfx) ( Personal Information Exchange—PKCS #12 (*.pfx)), будет выдан запрос на  ввод пароля. Для экспорта файла введите пароль и нажмите кнопку Далее (Next).
6.Введите название файла, который Вам необходимо экспортировать, и нажмите кнопку Далее (Next).
7.Перед завершением работы мастера проверьте все выбранные Вами параметры и нажмите кнопку Готово (Finish), чтобы экспортировать файл.

Итоговая настройка

По аналогии с корневым ЦС, нам потребуется сконфигурировать ряд параметров на издающем ЦС. Для этого мы снова напишем BATCH скрипт с использованием утилиты certutil.exe. Но прежде всего посмотрим установочную таблицу и выясним параметры, которые нам необходимо настроить:

Аналогичная таблица составляется и для издающего ЦС.

За основу мы возьмём скрипт с корневого ЦС и изменим только отдельные фрагменты:

Оцените статью
Мой сертификат
Добавить комментарий