Необходимость в создании собственного локального центра сертификации появляется в связи с растущим количеством сервисов, использующих защищенные протоколы на предприятии.

К таким сервисам можно отнести почтовые, терминальные, сервисы обмена сообщениями, web-сервисы, в том числе панели управления приложениями.

Я рассмотрю процесс создания центра сертификации на базе сервера Windows 2008R2.

Обычно эту роль устанавливают на один из контроллеров домена, так как эта служба тесно связана с AD, кроме того после установки службы уже нельзя будет менять имя компьютера и домен.

В Windows 2008 cлужба устанавливается как роль, соответственно идем в Server Manager->Roles, жмем Add Roles и ставим галочку Active Directory Certificate Services.

Жмем Next, Next, появится окно выбора дополнительных служб. Добавляем Certification Authority Web Enrollment. Эта служба позволяет автоматически продлевать выдаваемые сертификаты через веб-сервисы, поэтому при выборе откроется окно со списком всех устанавливаемых служб, в том числе IIS :

Жмем Add Required Role Services. Далее мастер предлагает выбрать тип установки — Enterprise (данные о сертификатах хранятся в AD) или Standalone (данные хранятся на данном сервере), выбираем Enterprise.

В следующем окне указываем, что этот сервер первый и корневой (Root).

Дальше выбираем Create a new private key (Создание нового секретного ключа").

В следующем окне мастер предлагает выбрать CSP и алгоритм хэширования. По умолчанию выбран алгоритм SHA1, но исходя из сегодняшних реалий, я бы выбрал алгоритм SHA256. Некоторые приложения сегодня, тот же Google Chrome, считает алгоритм SHA1 недостаточно надежным и выдаёт предупреждение при обнаружении такого сертификата.

В следующем окне нужно выбрать имя корневого сертификата, под которым он будет отображаться в списке корневых сертификатов компьютера.

После выбора всех настроек выдаётся предупреждение, что после установки служб сертификации имя сервера и домен не могут быть изменены!

Жмем Install и после установки служб перезагружаем сервер.

Для проверки работы службы запускаем на самом сервере IE и заходим по адресу http://localhost/certsrv

Должно отобразиться окно сервиса с указанием в заголовке имени корневого сертификата:

Просматривать список выданных сертификатов и настраивать параметры работы службы можно в оснастке Certification Authority, которая появится в разделе Administrative Tools.

Теперь можно проверить, что корневой сертификат автоматически загрузился в хранилище корневых сертификатов компьютера/сервера:

Для того, чтобы центр сертификации мог выдавать по запросу личные сертификаты, нужно настроить возможность подключения к нему по https. Для этого запускаем оснастку Internet Information Services (IIS) Manager и выбираем в левом окне сайт, в котором создалась служба certsrv, обычно это Default Web Site:

Жмем на этот сайт правой кнопкой мыши и выбираем Edit Bindings, далее жмем Add... , в открывшемся окне в поле Type: выбираем https, а в поле SSL certificate выбираем сертификат сервера, выданный нашим ЦС:

Жмем OK и правой панели — Restart для перезапуска сайта. После этого в правом окне в разделе Browse Web Site должна появиться строчка Browse *:443 (https).

Теперь можно попробовать зайти на наш ЦС через https:

Должен появиться запрос авторизации. Теперь наш ЦС может выдавать личные сертификаты с ключом шифрования, которые можно использовать, например для цифровой подписи сообщений.

Источник

• http://ucblog.ru/создание-и-настройка-локального-цент/