Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Файловый менеджер с очень малыми системными требованиями, но тем не менее с большими возможностями. Программа имеет ориг...
Программа RecentX предназначена для упрощения процесса поиска файлов. Она сохраняет информацию обо всех файлах, которые ...
Аудио-конвертер, снабженный удобным «drag and drop»-интерфейсом и поддерживающий большинство распространенных форматов. ...
ChrisTV - неплохая программа для просмотра ТВ на вашем компьютере. Программа работает на картах с чипсетами BT8x8, Phili...
ChrisTV - неплохая программа для просмотра ТВ на вашем компьютере. Программа работает на картах с чипсетами BT8x8, Phili...
OSzone.net Microsoft Windows XP Безопасность Автоматическая подача заявок на сертификаты в ОС Windows XP RSS

Автоматическая подача заявок на сертификаты в ОС Windows XP

Текущий рейтинг: 4.17 (проголосовало 12)
 Посетителей: 33788 | Просмотров: 48322 (сегодня 2)  Шрифт: - +
Club logo

Обновлено: 17 февраля 2003 г.
Автор: Девид Б. Кросс (David B. Cross) (EN) 
Переведено: 4 июня 2006 г.

Благодарности

Майкл Кесслер (Michael Kessler) (EN), технический редактор, корпорация Microsoft 

Аннотация

Операционная система Microsoft® Windows® XP вносит ряд улучшений в службы сертификации и инфраструктуру открытых ключей (PKI). Эти улучшения позволяют организациям автоматически предоставлять пользователям сертификаты на основе открытых ключей.

Эта статья рассчитана на ИТ-менеджеров и системных администраторов. Она позволяет ознакомиться с техническими особенностями автоматической подачи заявок на сертификаты, всесторонне рассмотреть ее работу и получить основную информацию по устранению возможных проблем в работе.

На этой странице

  Введение
  Работа автоматической подачи заявок
  Настройка шаблонов сертификатов
  Настройка центра сертификации предприятия
  Настройка групповой политики
  Автоматическая подача заявок пользователем
  Обновление сертификатов
  Функции автоматической подачи заявок
  Обновление групповой политики
  Дополнительные возможности
  Поддерживаемое оборудование
  Устранение проблем в работе
  Заключение
  Связанные ресурсы

Введение

Операционная система Windows® XP предоставляет пользователям и компьютерам возможность выполнять автоматическую подачу заявок на сертификаты, включая сертификаты для смарт-карт.

Использование функции автоматической подачи заявок позволяет организациям управлять жизненным циклом сертификатов пользователей. Этот процесс включает в себя:

Обновление сертификатов
Замещение сертификатов
Требование нескольких подписей

Быстро и просто

Автоматическая подача заявок на сертификаты основана на сочетании установок групповой политики и шаблонов сертификатов версии 2. Это сочетание позволяет клиенту ОС Windows XP Professional  подавать заявки на сертификаты пользователей во время их входа в свой домен, подавать заявку на сертификаты компьютера при его загрузке, а также периодически обновлять сертификаты в промежутке между этими событиями.

Автоматическая подача заявок на сертификаты пользователей обеспечивает быстрый и простой способ выдачи сертификатов пользователям, а также позволяет использовать возможности инфраструктуры открытых ключей (PKI) (такие, как вход в систему с помощью смарт-карт, EFS, SSL, S/MIME  и прочих) в среде службы каталогов Active Directory®. Использование автоматической подачи заявки для пользователя позволяет минимизировать затраты на обычное развертывание инфраструктуры открытых ключей (PKI), а также уменьшить совокупную стоимость владения (TCO) внедрения инфраструктуры открытых ключей (PKI), когда клиенты ОС Windows XP Professional сконфигурированы для работы с Active Directory.

Поддержка отложенных запросов сертификатов и обновления сертификатов

Автоматическая подача заявки пользователем в ОС Windows XP Professional поддерживает как отложенные запросы сертификатов, так и обновление сертификатов.

Запрос сертификата

Вы можете запросить сертификат у центра сертификации (CA) ОС Windows Server 2003 вручную или автоматически.  Этот запрос будет действителен до получения административного одобрения или до окончания процесса проверки. После того, как запрос будет одобрен и сертификат выдан, процесс автоматической подачи заявки завершается, после чего происходит автоматическая установка Вашего сертификата.

Обновление сертификата

Процесс обновления сертификата пользователя с истекшим сроком действия также использует все возможности механизма автоматической подачи заявок. Сертификаты автоматически обновляются от имени пользователя, в соответствии с данными, имеющимися в шаблоне сертификата.

Зависимости

Система автоматической подачи заявки имеет несколько требований к имеющейся инфраструктуре. Необходимо наличие:

Windows Server 2003 и обновлений групповой политики
Контроллера домена Windows 2000 или Windows Server 2003
Клиента Windows XP
Windows Server 2003 Enterprise Edition, работающего в качестве центра сертификации (CA) предприятия

Примечание. Настройки групповой политики для автоматической подачи заявки могут использоваться только на компьютере, работающем под управлением ОС Windows XP Professional или Windows Server 2003.

Наверх страницы

Работа автоматической подачи заявок

В данном разделе описывается работа автоматической подачи заявок. Рассматриваемые в данном разделе темы включают в себя: автоматическую подачу заявки и вход в систему, анализ составляющих процесса автоматической подачи заявки и работу с интерфейсом центра сертификации.

Важные моменты

Автоматическая подача заявки лучше всего работает в среде Windows Server 2003 Enterprise Edition с развернутой инфраструктурой Active Directory для клиентов Windows XP.

Только компьютеры домена могут пользоваться функцией автоматической подачи заявок на сертификаты. Хотя процесс автоматической подачи заявки не требует обязательной принадлежности компьютера к домену, процесс входа в систему не запустит программу userinit.exe, если пользователь или компьютер не являются членом домена.

Автоматическая подача заявок и вход в систему

Процесс автоматической подачи заявок запускается процессом входа в систему (Winlogon). Он разработан таким образом, чтобы его можно было активировать и управлять им с помощью групповой политики домена. Как групповая политика компьютеров, так и групповая политика пользователей могут активировать автоматическую подачу заявки для компьютеров и пользователей. По умолчанию параметры групповой политики применяются при перезагрузке (для компьютеров) или во время входа в систему (для пользователей), и обновляются каждые восемь часов. Интервал обновления может быть задан с помощью групповой политики.

Для получения дополнительной информации обратитесь к  разделу «Обновление групповой политики» данной статьи.

Примечание. При разблокировании рабочей станции процесс автоматической подачи заявки не запустится автоматически. Только полностью интерактивный процесс входа в систему или обновление групповой политики могут его запустить.

Процесс автоматической подачи заявок

Процесс автоматической подачи заявок управляет всеми аспектами подачи заявок на сертификаты, обновления и хранения сертификатов, кроме тех случаев, когда действия пользователя явно определены в шаблоне сертификата в Active Directory. При запуске процесса автоматической подачи заявки процессом Winlogon или групповой политикой по истечении интервала обновления, операционная система запрашивает службу каталогов Active Directory о загрузке соответствующего хранилища сертификатов в локальное хранилище на клиентский компьютер (например, контейнера NTAuth и шаблонов сертификата). Это выполняется прозрачно в асинхронном режиме.

Список необходимых ресурсов

Процесс автоматической подачи заявки обработает список шаблонов и создаст список необходимых ресурсов для всех шаблонов, имеющих для шаблона запись управления доступом ACE (ACE - access control entry) на автоматическую подачу заявки для данного компьютера или пользователя. Компьютер и/или пользователь также должен иметь разрешение на чтение, указанное в записи ACE для шаблона, или шаблон не будет перечислен вообще. «Мое» ("MY") хранилище пользователей или компьютеров также будет обработано для обнаружения отозванных сертификатов, сертификатов без закрытых ключей, сертификатов с неверным сроком действия и т.д., которые будут добавлены в список необходимых ресурсов.

Возможно, что у пользователя могут быть сертификаты в «Моем» хранилище, но не будет соответствующих разрешений, включенных в список управления доступом (ACL) для шаблона в службе каталогов Active Directory. Такие сертификаты будут обработаны и добавлены в список, но подачу заявки скорее всего выполнить не удастся из-за того, что разрешения, установленные для шаблона, не позволяют выполнять подачу заявки или обновление.

Элементы списка необходимых ресурсов могут быть удалены в том случае, если обнаруживается подходящий, действующий сертификат в «Моем» хранилище. Если шаблон сертификата будет помечен как требующий проверки Active Directory на наличие сертификата, то в службу каталогов Active Directory будет подан запрос на наличие дубликата сертификата, содержащегося в атрибуте userCertificate объекта пользователя, и в случае успеха требование будет удалено из списка.

Примечание. Проверка Active Directory на наличие сертификата, связанного с объектом пользователя или компьютера, может повлиять на производительность и может вызвать задержки в обработке процесса автоматической подачи заявки из-за требований сети и каталога к выполнению этой операции. Это вызвано тем, что в соответствии с атрибутом userCertificate действующие сертификаты будут загружены и проверены. При этом без загрузки сертификата и обработки его локально невозможно запросить каталог по протоколу LDAP, для получения простого ответа, действительно ли данный тип сертификата существует.

Процесс автоматической подачи заявки также управляет хранилищем пользователя "REQUEST". Этот включает в себя перечисление всех отложенных запросов в хранилище и, если такое возможно, последующую установку ожидаемого сертификата, полученного от центра сертификации (CA). Архивирование или удаление сертификата, основанное на правиле для шаблона сертификата, выполняется следующим образом:

Если уже существует запрос в хранилище "REQUEST", то этот сертификат будет удален из общего списка необходимых ресурсов.
Если запрос находился в состоянии ожидания более чем 60 дней, то он будет удален, а список необходимых ресурсов останется без изменений.

Автоматическая подача заявки может использоваться для восстановления отложенных запросов только для сертификатов, в которых присутствует информация о шаблоне (например, информация о шаблоне может содержаться в начальном запросе). Для процесса автоматической подачи заявки не нужно использовать соответствующий список ACL, чтобы обработать отложенный запрос сертификата. Если пользователь осуществляет автоматическую подачу заявки с помощью веб-страницы и запрос сертификата отложен, то автоматическая подача заявки сама обработает отложенный запрос для пользователя.

Правила замещения шаблонов будут обработаны и в список необходимых ресурсов будут внесены соответствующие дополнения и исключения. Например, если в шаблоне указывается, что "X замещает Y," то это означает, что если Вам необходимо было выполнять автоматическую подачу заявки для получения X и Y , то в действительности Вам необходимо ее выполнить только для X. В случае если у Вас есть только Y, то Вам необходимо также получить и X. Это последний шаг в обработке правил, после которого список необходимых ресурсов считается завершенным.

Для всех шаблонов, не требующих взаимодействия с пользователем, процесс автоматической подачи заявки будет создавать запросы в фоновом режиме и направлять их в центр сертификации (CA). После завершения этого процесса список необходимых ресурсов обновляется.

При выдаче сертификата центром сертификации (CA) сертификат устанавливается в «Моем» хранилище пользователя или компьютера. Если сертификат находится в состоянии ожидания, что определяется наличием флажка Одобрения диспетчера сертификатов ЦС (CA Manager approval) в оснастке Шаблон сертификатов (Certificate Template) консоли управления MMC, то информация о запросе сохраняется в хранилище REQUEST.

Всплывающие уведомления интерфейса пользователя

Для всех запросов, требующих взаимодействия с пользователем согласно шаблону сертификата, вызываются всплывающие уведомления интерфейса пользователя.

Приблизительно в течение 60 секунд после входа в систему отображается всплывающие уведомления интерфейса пользователя. Если шаблоном сертификата никакое взаимодействие с пользователем не определено, то всплывающие уведомления интерфейса пользователя отображены не будут. Такая задержка вводится для ускорения времени отклика приложений и оболочки во время входа в систему и загрузки компьютера.
Если же 60-ти секундная задержка нежелательна, то с согласия пользователя можно добавить следующий ключ в реестр:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEExpress

Не рекомендуется использовать данный ключ реестра при обычной работе. Его использование возможно лишь с одобрения пользователя.

Важно: Сертификаты компьютеров не поддерживают взаимодействие с пользователем, поэтому они не должны использоваться совместно с отложенными запросами.

Всплывающие уведомления интерфейса пользователя ожидают, когда пользователь обратит на них внимание и активирует щелчком мыши. Учтите то, что приблизительно через 15 секунд всплывающее уведомление будет заменена значком сертификата, который можно будет активировать с помощью мыши в области уведомлений на панели задач.
Если в течение 7 часов активация не будет выполнена, то всплывающее уведомление интерфейса пользователя исчезнет и процесс будет повторен при следующем входе в систему, перезагрузке компьютера или по истечении интервала обновления групповой политики, независимо от того, какое событие произойдет первым.
Как только пользователь активирует всплывающее уведомление интерфейса пользователя, будет выполнена проверка  хранилища "REQUEST" на наличие отложенных запросов.

Выдача шаблонов

Как только шаблон сертификата c надлежащей записью ACE будет перечислен, процесс автоматической подачи заявки начнет поиск в Active Directory центра сертификации предприятия, который бы мог выдать шаблон. При обнаружении более одного центра сертификации предприятия, клиент начинает их проверять в случайном порядке (с целью равномерного распределения нагрузки) до тех пор, пока не будет найден центр сертификации, готовый выдать сертификат.

Клиент связывается с центром сертификации с помощью интерфейса DCOM (DCOM - Distributed Component Object Model) и предоставляет контекст безопасности через DCOM для обеспечения запроса с проверкой подлинности. Модуль политики по умолчанию центра сертификации предприятия приводит профили сертификатов и безопасность подачи заявки в соответствие с тем, как это определено в шаблонах.

В случае если центр сертификации настроен так, чтобы откладывать запросы до тех пор, пока администратор или  диспетчер сертификатов не проверят и не одобрят их, автоматическая подача заявки будет периодически запрашивать центр сертификации о наличии одобренных запросов во время каждого интервала обновления групповой политики. Автоматическая подача заявки также будет осуществлять повторную подачу заявки на шаблон в том случае, если установлен параметр Подать повторную заявку для всех владельцев сертификатов (Reenroll all certificate holders). Для получения дополнительной информации обратитесь к разделу «Обновление сертификатов» этой статьи.

Интерфейсы центра сертификации

Если используется центр сертификации, разработанный сторонним производителем (не Microsoft), то для того, чтобы принять запрос автоматической подачи заявки от клиента Windows XP, он должен эмулировать интерфейс ICertRequest2 так, как это определено в документации Platform SDK (Platform Software Development Kit).

Процесс автоматической подачи заявки использует следующие методы для подачи заявки и связи с центром сертификации предприятия:

GetCAProperty
Submit
GetLastStatus
GetRequestId
GetFullResponseProperty
GetCertificate
Release
RetrievePending

Описание данных методов можно найти в документации Platform SDK (Platform Software Development Kit) (EN).

Наверх страницы

Настройка шаблонов сертификатов

В данном разделе описывается настройка шаблонов сертификатов и приводится в качестве примера пошаговое руководство по созданию нового шаблона для автоматической подачи заявки на сертификат смарт-карты. Кроме того, описываются разрешения для шаблона сертификата.

Важный момент

Для того, чтобы можно было пользоваться автоматической подачей заявки, необходимо сначала создать шаблон сертификата в службе каталогов Active Directory.

Настройки, заданные по умолчанию

По умолчанию заданы следующие настройки:

Настраивать шаблоны в домене, в котором производилось обновление до Microsoft Windows 2000, могут только администраторы корневого домена.
Настраивать шаблоны заново установленных доменов Microsoft Windows 2000 могут как администраторы корневого домена, так и администраторы предприятия.
Списки ACL шаблона сертификата отображаются в оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC.
Шаблоны сертификатов можно клонировать и редактировать с помощью оснастки Шаблоны сертификатов (Certificate Templates) консоли MMC.

Примечание. Шаблоны версии 2 поддерживает только домен на основе Windows Server 2003 и только Windows Server 2003 Enterprise Edition может выпускать сертификаты шаблона версии 2.

Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты

Для создания нового шаблона для автоматической подачи заявки на сертификат смарт-карты:

1. Войдите под учетной записью администратора домена.
2. В меню Пуск (Start) нажмите Выполнить (Run).
3. В поле Открыть (Open) диалогового окна Выполнить (Run) введите mmc.exe и затем нажмите OK.
4. В меню Консоль (File) выберите Добавить или удалить оснастку (Add/Remove Snap-in).
5. В диалоговом окне Добавить или удалить оснастку (Add/Remove Snap-in) нажмите Добавить… (Add).
6. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите Шаблоны сертификатов (Certificate Templates) и затем нажмите Добавить (Add).

Примечание. Оснастка Шаблоны сертификатов (Certificate Templates) консоли MMC доступна в серверной версии Windows Server 2003 или в ОС Windows XP Professional с установленным Пакетом инструментов для администрирования сервера (Administration Tools Pack installation on the Server media).

7. Нажмите Закрыть (Close).
8. Нажмите OK.

Примечание. К оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC также можно получить доступ с помощью оснастки Центр сертификации (Certification Authority) консоли MMC, выбрав папку Certificate Templates, щелкнув по ней правой кнопкой мыши и выбрав Управление (Manage).

9. В дереве консоли выберите Шаблоны сертификатов (Certificate Templates).
10. В области сведений щелкните правой кнопкой по шаблону Пользователь со смарт-картой (Smartcard User) и затем щелкните Скопировать шаблон (Duplicate Template), как показано ниже на Рисунке 1. 

Рисунок 1 - Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты

Откроется диалоговое окно свойств нового шаблона с открытой вкладкой Общие (General).

11. В поле Отображаемое имя шаблона (Template display name) введите уникальное название для шаблона, как показано ниже на Рисунке 2. 

Рисунок 2 - Задание названия шаблону 
Примечание. Если установлен параметр Не использовать автоматическую перезаявку, если такой сертификат уже существует в Active Directory (Do not automatically reenroll if a duplicate certificate exists Active Directory), то процесс автоматической подачи заявок не выполнит подачу заявки пользователя на шаблон сертификата даже в том случае, если сертификата нет в «Моем» хранилище пользователя. Active Directory делает запрос и определяет, можно ли пользователю подавать заявку. Это чрезвычайно полезная функция для тех пользователей, у которых нет перемещаемых профилей, и которые работают на нескольких компьютерах. Без этой настройки и без перемещаемых профилей пользователь будет автоматически зарегистрирован на любом компьютере, на котором осуществил вход (включая серверы).

12. Выберите вкладку Обработка запроса (Request Handling), как показано ниже на рисунке 3. Эта вкладка используется для определения способа обработки запроса сертификата (включая выбор поставщиков служб криптографии CSP (CSP-cryptographic service providers) и минимального размера ключа шифрования, которые будут использоваться шаблоном автоматической подачи заявки).

(В данном примере используется поставщик служб криптографии (CSP) смарт-карты Gemplus GemSAFE, которая и будет разрешена для использования в этом шаблоне. Если у пользователя нет такой смарт-карты, то ему не удастся воспользоваться автоматической подачей заявки для этого шаблона сертификата). 

Рисунок 3 - Определение способа обработки запроса сертификата

Важно: Если на данной вкладке разрешить более одного поставщика служб криптографии (CSP) для смарт-карты, то во время выполнения подачи заявки на этот шаблон будет выдан запрос пользователю о каждом выбранном поставщике служб криптографии (CSP). Действия могут отличаться в зависимости от наличия поставщиков служб криптографии (CSP), доступных на клиентском компьютере. Если у пользователя только одна смарт-карта, то ему необходимо будет отклонить все выдаваемые запросы об остальных недоступных поставщиках служб криптографии (CSP). Данное поведение является особенностью продукта. Для успешного выполнения подачи заявки необходимо также указать минимальный размер ключа шифрования, который поддерживается выбранным поставщиком служб криптографии (CSP).

13. Установите флажок Для автоматической подачи требуется ввод пользователя (Require user input for autoenrollment), как показано выше на Рисунке 3 (при этом для успешного выполнения подачи заявки на сертификат смарт-карты необходимо будет участие пользователя).

Важно: Данная опция не нужна, если шаблоны сертификатов не предполагается использовать для смарт-карт или если пользователь не хочет отвечать на появляющиеся запросы подачи заявки на сертификаты. Для сертификатов компьютеров не нужно устанавливать этот флажок. Если его установить, компьютер не сможет выполнить автоматическую подачу заявки.

14. Выберите вкладку Имя субъекта (Subject Name). Данная вкладка используется для определения имени субъекта и свойства сертификата. Рекомендуется использовать заданные по умолчанию параметры для осуществления подачи заявки на шаблон сертификата смарт-карты.
15. Выберите вкладку Расширения (Extensions). На данной вкладке можно указать, каким образом различные расширения будут добавлены в шаблон сертификата при подаче заявки. Рекомендуется использовать настройки, заданные по умолчанию.

Примечание. Политики применения (Application Policies) являются заменой Расширенного использования ключа (Extended Key Usage (EKU)) в Windows Server 2003, хотя EKU все еще поддерживается для старых приложений и клиентских операционных систем.

16. Выберите вкладку Безопасность (Security). На данной вкладке можно указать пользователей и группы пользователей, которые могут выполнять подачу заявки или автоматическую подачу заявки на шаблон сертификата. Для того чтобы иметь возможность автоматически подать заявку на шаблон сертификата, пользователь или группа должны иметь разрешения:  Чтение (Read), Подача заявки (Enroll) и Автоматическая подача заявки (Autoenroll).
17. Для завершения нажмите OK. В столбце Автоматическая подача заявки (Autoenrollment) теперь должно отображаться Разрешено (Allowed).

Примечание. Если шаблон подходит для автоматической подачи заявки, то это будет автоматически отражено на статусе в столбце Автоматическая подача заявки (Autoenrollment). Пользователь не сможет изменить значение статуса. Автоматическая подача заявки не будет разрешена в том случае, если шаблон требует наличия более чем одной подписи центра регистрации (RA - registration authority) или если шаблон поставляется запросившей его стороной. Столбец не отражает состояние списка ACL автоматической подачи заявки шаблона. Важно: Смарт-карта, выпущенная для клиента Windows XP или Станции подачи заявок (Enrollment Station) Windows XP (центра регистрации) будет совместима только с клиентом Windows XP. Между различными смарт-картами и производителями поставщиков криптографии (CSP) нет полной совместимости. Для получения дополнительной информации о возможности использования одной смарт-карты для входа как в ОС Windows 2000, так и в ОС Windows XP, обратитесь к производителям смарт-карты и CSP.

Разрешения шаблона сертификата

Для того, чтобы пользователь или компьютер могли выполнять подачу заявки на шаблон сертификата, для шаблона должен быть соответствующий набор разрешающих записей ACE в службе каталогов Active Directory. Пользователь или компьютер должны иметь разрешения, как на чтение, так и на запись для того, чтобы выполнить подачу заявки на выбранный шаблон сертификата.

Разрешение на чтение (Read permission) позволяет пользователю просматривать шаблоны
Разрешение на подачу заявки (Enroll permission) приводится в исполнение центром сертификации предприятия, когда пользователь подает запрос на сертификат выбранного шаблона. Центр сертификации предприятия должен иметь разрешение на чтение в шаблоне для того, чтобы перечислить шаблон в каталоге и выпускать сертификаты, основанные на этом шаблоне. Обычно центр сертификации предприятия по умолчанию включен в группу Прошедшие проверку пользователи (Authenticated Users), у которой есть разрешение на чтение в шаблоне.
Разрешение на полный доступ (Full Control permission) по умолчанию предоставлено группе администраторов предприятия и администраторов первичного домена, если выполнялась чистая установка домена на базе ОС Windows Server 2003. В том случае, если производилось обновление домена с ОС Windows 2000, то у администраторов предприятия по умолчанию не будет таких разрешений. Разрешение на полный доступ позволяет пользователям устанавливать и изменять разрешения для выбранного шаблона.
Разрешение на автоматическую подачу заявки (Autoenroll permission) устанавливается в шаблоне в том случае, если необходимо, чтобы пользователь или компьютер автоматически подавал заявку на выбранный шаблон сертификата. Разрешение на автоматическую подачу заявки необходимо пользователю в дополнение к разрешению на подачу заявки, для того чтобы выполнить подачу заявки на данный шаблон сертификата. Только шаблоны версии 2 или вновь созданные шаблоны могут иметь набор записей ACE автоматической подачи заявки.
Разрешение на запись (Write permission) позволяет пользователям изменять содержимое шаблона сертификата. Необходимо отметить, что сертификаты версии 2 можно изменять только при использовании ОС Windows Server 2003. Шаблоны сертификатов версии 1 позволяют изменять только списки управления доступом (ACL).

Наверх страницы

Настройка центра сертификации предприятия

В данном разделе описывается настройка центра сертификации предприятия корпорации Microsoft необходимая после его создания для выпуска шаблонов сертификатов.

Настройка центра сертификации предприятия

Для настройки центра сертификации предприятия:

1. В разделе Администрирование (Administrative Tools) откройте оснастку Центр сертификации (Certification Authority).
2. В дереве консоли откройте оснастку центр сертификации и затем выберите Шаблоны сертификатов (Certificate Templates), как показано ниже на Рисунке 4. 

Рисунок 4 - Выбор шаблонов сертификатов

3. Щелкните правой кнопкой мыши Шаблон сертификата (Certificate Template), выберите Создать (New) и затем выберите Выдаваемый шаблон сертификата (Certificate Template to Issue).
4. В диалоговом окне Включение шаблонов сертификатов (Enable Certificate Templates), которое показано на Рисунке 5, выберите Auto Enroll Smartcard User, нажмите OK. (Шаблон сертификата с названием Auto Enroll Smartcard User был создан ранее. Обратитесь к разделу «Создание нового шаблона для автоматической подачи заявки смарт-карты»). 
 

  Рисунок 5 - Включение шаблона сертификата в центре сертификации

Примечание. Возможна ситуация, когда центр сертификации не сможет мгновенно выдать шаблон сертификата из-за задержки репликации и кэширования шаблона в реестре. Время выдачи зависит от задержки репликации между контроллерами домена.

5. Закройте оснастку Центр сертификации (Certification Authority) консоли MMC.

Наверх страницы

Настройка групповой политики

В данном разделе описывается настройка групповой политики для сайта, домена или подразделения.

Настройка групповой политики

Для обеспечения автоматической подачи заявки на сертификаты в домене необходимо выполнить настройку групповой политики для сайта, домена или подразделения.

Для настройки групповой политики:

1. Откройте оснастку Active Directory – пользователи и компьютеры (Active Directory - Users and Computers) консоли MMC.
2. Щелкните правой кнопкой мыши на сайте, домене или подразделении, для которого необходимо настроить групповую политику, и выберите Свойства (Properties).
3. Выберите вкладку Групповая политика (Group Policy) и нажмите кнопку Изменить (Edit), как показано ниже на Рисунке 6. 

  Рисунок 6 - Выбор настроек параметров групповой политики

Примечание. Настройка политики компьютера для автоматической подачи заявки на сертификаты компьютера и контроллера домена производится аналогично, хотя и управляется через политику компьютера групповой политики.

4. Выберите Параметры конфигурации пользователя (User Configuration settings), затем Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings) и затем Политики открытого ключа (Public Key Policies). Щелкните правой кнопкой по объекту Параметры автоматической подачи заявок (Autoenrollment Settings), как показано ниже на Рисунке 7, затем выберите Свойства (Properties).  

  Рисунок 7 - Выбор параметров автоматической подачи заявки

5. Убедитесь, что переключатель установлен в положение Подавать заявки на сертификаты автоматически (Enroll certificates automatically), как показано ниже на Рисунке 8. Установите также имеющиеся два флажка, чтобы обеспечить автоматическое обновление, очистку сертификатов и регистрацию в службе каталогов Active Directory.

Рисунок 8 - Выбор параметров автоматической подачи заявки

6. Нажмите OK. Теперь автоматическая подача заявки включена.

Наверх страницы

Автор: Александр Пришляк aka Alexander_Grig  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 08.07.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.