Автоматическая подача заявок на сертификаты в ОС Windows XP

Автоматическая подача заявок на сертификаты в ОС Windows XP
Посетителей: 36758 \| Просмотров: 55867 (сегодня 0)	Шрифт:

Автоматическая подача заявок пользователем

В данном разделе описываются запуск процесса автоматической подачи заявки вручную и с помощью смарт-карты.

Важные моменты

В отличие от автоматической подачи заявок на сертификаты других типов, автоматическая подача заявки на сертификат пользователя смарт-карты требует ручного вмешательства. Как только автоматическая подача заявки будет разрешена, во время очередного интервала обновления групповой политики (по умолчанию он равен 8 часов) или при следующем входе в систему пользователь получит всплывающее уведомление с информацией в области уведомлений панели задач.

Запуск автоматической подачи заявки вручную

Можно запустить выполнение автоматической подачи заявки вручную с помощью оснастки Сертификаты (Certificates) консоли MMC.

Для запуска автоматической подачи заявки вручную:

1.	Войдите в домен с соответствующей учетной записью пользователя.
2.	В меню Пуск (Start) выберите Выполнить (Run).
3.	Введите "mmc.exe" и нажмите клавишу Enter. При этом появится пустая оболочка консоли MMC.
4.	В меню Консоль (File) выберите команду Добавить или удалить оснастку… (Add/Remove Snap-In). Появится диалоговое окно со списком оснасток, добавленных в оболочку консоли MMC.
5.	Нажмите кнопку Добавить… (Add). При этом отобразится список зарегистрированных на данном компьютере оснасток.
6.	Щелкните дважды на оснастке Сертификаты (Certificates). С помощью переключателя выберите значение моей учетной записи пользователя (My User Account) и нажмите кнопку Готово (Finish). В случае если необходимо выполнить подачу заявки на сертификат компьютера, такого как контроллер домена или веб-сервер, необходимо выбрать значение учетной записи компьютера (Computer account).
7.	Нажмите Далее (Next).
8.	Выберите Локальный компьютер (Local Computer), затем нажмите Готово (Finish).
9.	Нажмите кнопку Закрыть (Close) в диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) и затем нажмите OK в диалоговом окне Добавить/удалить оснастку (Add/Remove Snap-in). Теперь консоль MMC содержит личное хранилище сертификата пользователя.
10.	Щелкните правой кнопкой мыши на корне дерева Сертификаты – текущий пользователь (Certificate–Current User). Из контекстного меню выберите Все задачи (All Tasks) и затем Подавать заявки на сертификаты автоматически (Automatically Enroll Certificates), как показано ниже на Рисунке 9. Рисунок 9 – Сертификаты, используемые для автоматической подачи заявок

Примечание. Приблизительно через минуту появится всплывающее уведомление Подача заявок на сертификаты (Certificate Enrollment) (это не случится в том случае, если был добавлен в реестр ключ, описанный ранее в разделе «Всплывающие уведомления интерфейса пользователя»).

Подача заявки на сертификаты смарт-карт

1.	При появлении всплывающего уведомления Подача заявок на сертификаты (Certificate Enrollment) нажмите на него или на соответствующий значок сертификата, расположенного в области уведомлений. Через короткий промежуток времени всплывающее уведомление автоматически исчезнет и останется только значок в области уведомлений. После щелчка по всплывающему уведомлению запустится пользовательский интерфейс автоматической подачи заявки. Примечание. Всплывающее уведомление подачи заявки на сертификаты и мастер используется не только для подачи заявки на сертификаты смарт-карт, но и для центра саморегистрации.
2.	Для запуска мастера нажмите кнопку Начать (Start), как показано ниже на Рисунке 10. (Нажатие на кнопку Напомнить позже (Remind Me Later) приведет к тому, что всплывающее уведомление Подача заявок на сертификаты (Certificate Enrollment) появится вновь по истечении интервала обновления групповой политики или при следующем интерактивном входе в систему). Рисунок 10 - Начало подачи заявки на сертификаты
3.	Если в считыватель смарт-карт не будет вставлена смарт-карта с необходимым производителем поставщиков криптографии (CSP) для сертификата, то пользователю будет выдано сообщение, о необходимости сделать это. Вставьте смарт-карту и нажмите OK. Примечание. В случае если в шаблоне сертификата на компьютере пользователя содержится несколько производителей поставщиков криптографии (CSP), вероятно, пользователю придется пройти несколько этапов в мастере для того, чтобы выбрать необходимого производителя поставщиков криптографии (CSP) для смарт-карты.
4.	Нажмите Отмена (Cancel), если отобразится неверный CSP для смарт-карты. При этом отобразится следующий CSP из списка шаблона сертификата.
5.	Нажмите OK после того, как вставите подходящую смарт-карту. Работа мастера будет продолжена. Примечание. Если смарт-карта содержит закрытый ключ и сертификат в Slot0 (в контейнере по умолчанию), пользователь будет предупрежден о замене учетных данных на смарт-карте. Важно: из-за ограничений CSP смарт-карты, вход в ОС Windows 2000 и в ОС Windows XP со смарт-картой требует наличия этого Slot0 или контейнера по умолчанию для хранения сертификата и закрытого ключа, которые используются при входе в систему с помощью смарт-карты. В том случае, если смарт-карта содержит несколько ключей и сертификатов, то помеченными как контейнер по умолчанию будут только последний сгенерированный ключ и сертификат.
6.	Нажмите Да (Yes), как показано ниже на Рисунке 11, если необходимо сменить учетные данные на смарт-карте. При этом работа мастера будет продолжена, как показано ниже на Рисунке 12. (В приведенном ниже примере показан один из возможных вариантов диалоговых окон, которые могут отображаться пользователю. Интерфейс работы пользователя со смарт-картой может меняться в зависимости от выбранного CSP). Рисунок 11 - Диалоговое окно замены учетных данных Рисунок 12 - Выполнение подачи заявки на сертификаты
7.	В случае необходимости ввести PIN-код для смарт-карты, появится соответствующее диалоговое окно. Введите соответствующий PIN-код и нажмите клавишу Enter. Подача заявки при этом продолжится. Примечание. Если Вы неправильно ввели PIN-код, у Вас будет еще несколько попыток для этого (количество попыток ограничено).

Успешное завершение или сбой при выполнении процесса автоматической подачи заявки будут отражены в журнале событий приложений локального компьютера. Также в случае неудачи при выполнении запроса на сертификат появится интерактивное диалоговое окно. Пользователь увидит диалоговое окно, показанное ниже на Рисунке 13, в случае возникновения ошибки при выполнении подачи заявки.

Рисунок 13 - Сообщение пользователю об ошибках, возникших во время выполнения подачи заявки на сертификат

Примечание. В случае успешной подачи заявки пользователи это сообщение не увидят.

Наверх страницы

Обновление сертификатов

В данном разделе рассматриваются интервалы обновления сертификатов, принудительное обновление сертификатов, а также обновление сертификатов для смарт-карт.

Интервалы обновления

ОС Windows XP при ее совместном использовании с центром сертификации ОС Windows Server 2003 будет автоматически осуществлять обновление сертификатов в те сроки, которые указаны в шаблоне сертификатов. Интервалы обновления указываются в шаблоне сертификата, при этом по умолчанию установлено значение в 6 недель (до истечения срока действия сертификата).

Основные критерии включения механизма обновления сертификата:

•

Автоматическое обновление сертификата будет выполнено только в том случае, когда истечет 80% срока действия сертификата или по достижению интервала обновления, указанного в шаблоне (в зависимости от того, какое из этих двух событий наступит раньше).

•

Если интервал обновления имеет значение большее 20% срока действия сертификата, автоматическая подача заявки на обновление сертификата все равно не будет выполнена до тех пор, пока не будет достигнут порог в 80%.

Принудительная повторная подача заявки

Администратор может заставить всех пользователей выполнить повторную подачу заявки на шаблон, обновив версию шаблона. При запросе службы каталогов Active Directory во время входа в систему выполняется проверка версии шаблона сертификата. Шаблон сертификата считается обновленным, если его версия изменилась в сторону увеличения, и все пользователи должны повторно осуществить подачу заявки на него.

Для ручного обновления версии шаблона, позволяющего заставить выполнить повторную подачу заявки, щелкните правой кнопкой мыши на шаблоне и выберите Подать повторную заявку для всех владельцев сертификатов (Reenroll All Certificate Holders), как показано ниже на Рисунке 14.

Рисунок 14 - Выполнение принудительной повторной подачи заявки вручную

Обновление сертификатов для смарт-карт

Возможности по обновлению смарт-карт могут отличаться в зависимости от типа CSP, используемого в смарт-карте, и того состояния, в котором находится смарт-карта в момент обновления. В общем случае, если на используемой смарт-карте имеется свободное место для дополнительной подачи заявки и при этом CSP обеспечивает поддержку нескольких ключей на смарт-карте, то при автоматической подаче заявки будет выдан запрос для карты на генерирование нового ключа для подачи заявки. В случае успеха сертификат будет записан на карту и контейнер будет помечен заданным по умолчанию. Контейнер, используемый по умолчанию, является единственным контейнером, который будет пересчитан процессом Winlogon для сертификата входа в систему со смарт-картой и ключа. В том случае, если смарт-карта или производитель поставщиков криптографии (CSP) не могут сгенерировать новый ключ на карте, будет повторно использован существующий ключ и новый сертификат будет принудительно установлен на карту. Данное событие будет занесено в журнал событий приложений компьютера.

Примечание. При выполнении автоматической подачи заявки всегда будут использоваться самые последние сгенерированные ключи для всех запросов на подачу заявки и обновление. Исключением из правил могут являться некоторые CSP смарт-карт, которые не поддерживают новые ключи ввиду ограничений смарт-карты. Событие о повторном использовании ключа будет занесено в журнал приложений на клиентском компьютере.

Обновление отозванных сертификатов

Отозванные сертификаты нельзя обновлять и использовать для подписания запросов на обновление. Это ограничено в самом процессе автоматической подачи заявки.

Наверх страницы

Функции автоматической подачи заявки

В данном разделе описывается удаление сертификатов с истекшим сроком действия и отозванных сертификатов, указанных в атрибуте userCertificate и в «Моем» хранилище пользователя.

Удаление просроченных и отозванных сертификатов

Процесс автоматической подачи заявки удаляет сертификаты с истекшим сроком действия и отозванные сертификаты из атрибута userCertificate объекта пользователя Active Directory. Это выполняется автоматически для гарантирования того, что только действующие и активные сертификаты будут использоваться в операциях шифрования.

Модуль выхода центра сертификации Windows Server 2003 также помогает обеспечивать управление учетными записями пользователей в Active Directory, но он может только удалять сертификаты с истекшим сроком действия, из-за особенностей работы отозванные сертификаты он не может удалять. В общем, нет смысла выдавать подписанный сертификат объекту пользователя в Active Directory, кроме как в целях хранения записи.

Управление сертификатами в «Моем» (MY) хранилище

Сертификатами в «Моем» хранилище пользователя также можно управлять с помощью процесса автоматической подачи заявки. Настройка автоматической подачи заявки на удаление сертификатов с истекшим сроком действия и отозванных сертификатов осуществляется с помощью шаблонов. Активировать эту возможность можно путем установки флажка на вкладке Обработка запроса (Request Handling) в диалоговом окне Свойства (Properties) выбранного шаблона сертификата, как показано ниже на Рисунке 15.

Рисунок 15 - Управление сертификатами
Если флажок Удалять отозванные и просроченные сертификаты (Delete revoked or expired certificates) не установлен, процесс автоматической подачи заявок будет выполнять архивирование всех сертификатов с истекшим сроком действия и отозванных сертификатов в «Моем» хранилище пользователя. Как было описано ранее, такая установка не влияет на атрибут userCertificate объекта пользователя в Active Directory.

Примечание. Использование этой функции возможно только с ключами шифрования, с ключами подписи это не возможно.

Наверх страницы

Обновление групповой политики

В данном разделе описывается обновление групповой политики пользователя и компьютера.

Групповая политика пользователя и компьютера

Процесс автоматической подачи заявки пользователем запускается процессом Winlogon (интерактивный вход в систему с помощью комбинации клавиш CTRL-ALT-DELETE) или при достижении интервалов обновления групповой политики. Обычно обновление групповой политики пользователя осуществляется при входе в систему, а обновление групповой политики компьютера - при перезагрузке компьютера. Групповую политику также можно обновить вручную, используя утилиту gpupdate.exe, которая включена в состав ОС Windows XP.

Принудительное обновление групповой политики в ручном режиме

Для принудительного обновления групповой политики пользователя или компьютера в ручном режиме необходимо запустить из командной строки утилиту gpupdate.exe с параметром "-Force" так, как показано ниже на Рисунке 16.

Рисунок 16 - Принудительное обновление групповой политики

Наверх страницы

Дополнительные возможности

В данном разделе описываются шаблоны, для которых необходимо одобрение Диспетчера сертификатов, а также описывается центр саморегистрации и то, каким образом осуществляется замещение шаблона сертификата.

Запрос одобрения Диспетчера сертификатов

Для некоторых особых шаблонов сертификатов может понадобиться, чтобы Диспетчер сертификатов (исполнитель центра сертификации) одобрил запрос перед тем, как центр сертификации подпишет и выдаст сертификат. Это специальное дополнительное средство безопасности работает в тесной взаимосвязи с автоматической подачей заявки. Его использование можно задать на вкладке Требования выдачи (Issuance Requirements) выбранного сертификата, как показано ниже на Рисунке 17. Установка этого параметра замещает все настройки, применяемые к отложенным запросам, центра сертификации.

Как только потребуется одобрение Диспетчера сертификатов, все запросы автоматической подачи заявки, направленные в центр сертификации, переводятся в состояние "ожидания" и сертификат не будет выдан до тех пор, пока Диспетчер сертификатов не одобрит запрос вручную.

Рисунок 17 - Установка требования одобрения Диспетчера сертификатов
Процесс автоматической подачи заявки будет периодически проверять центр сертификации на наличие одобренных запросов и автоматически устанавливать сертификаты. Отложенные запросы поддерживаются для сертификатов смарт-карт, пользователя и компьютера. В случае использования смарт-карт, при выдаче сертификата пользователю будет выдано сообщение о необходимости вставить смарт-карту в считыватель для того, чтобы сертификат был записан на карту.

Примечание. Процесс автоматической подачи заявок поддерживает не более одной подписи на шаблон. Такое ограничение используется для поддержки центра саморегистрации, описанного в следующем разделе. В случае необходимости получения нескольких подписей для подачи заявки на сертификат, подачу заявки необходимо выполнять вручную.

Центр саморегистрации

Центр саморегистрации является дополнительным средством подачи заявки на сертификаты, которое можно использовать совместно с процессом автоматической подачи заявок.

Центр саморегистрации использует подачу заявок на сертификат, основанную на наличии ранее полученного сертификата, при которой закрытый ключ пользователя используется для подписи нового запроса сертификата. Протокол CMC (Certificate Management Messages поверх CMS) используется для случая, когда одна или более подписей может или должна использоваться для подачи заявки на сертификат. Требования центра саморегистрации определены в шаблоне сертификата, которым можно управлять с помощью оснастки Шаблоны сертификатов (Certificate Templates) консоли MMC.

•

Для добавления требования выдачи (подписи) в шаблон сертификата, откройте шаблон и выберите вкладку Требования выдачи (Issuance Requirements).

•

Для добавления требования выдачи или требования подписи поставьте флажок Указанного числа авторизованных подписей (This number of authorized signatures) и укажите необходимое количество в соответствующем поле, как показано ниже на Рисунке 18.

Как только Вы это сделаете, можете добавлять особые требования к сертификату подписи.

Рисунок 18 - Указание числа авторизованных подписей
Пример использования центра саморегистрации: Для сертификата входа в систему со смарт-картой можно добавить политику применения, которая будет использоваться для осуществления подачи заявки на сертификат Шифрованной файловой системы (EFS). Тем самым будет определено, что пользователь подписал свой запрос для автоматической подачи заявки на сертификат EFS действующим сертификатом смарт-карты. При активации автоматической подачи заявки на сертификат EFS пользователю будет сообщено о необходимости вставить смарт-карту и ввести PIN-код.

Замещение шаблонов сертификатов

Автоматическая подача заявок на сертификат также поддерживает концепцию замещения шаблона или ранее полученного сертификата. Замещение шаблона позволяет администратору подавать повторную заявку, изменять или комбинировать выпущенные ранее подачи заявок на сертификаты в новой подаче заявки на сертификат. Процесс автоматической подачи заявок всегда проверяет существующие сертификаты в хранилище пользователя и определяет, был ли замещен шаблон, использованный в выданном сертификате. Если шаблон сертификата был замещен, пользователь автоматически будет выполнять запрос с новым шаблоном, а старые сертификаты будут удалены или перемещены в архив в зависимости от настроек шаблона.

Преимущества

Использование замещения шаблонов сертификатов наиболее полезно в следующих случаях:

•	Изменение срока действия сертификата
•	Увеличение длины ключа
•	Добавление использования расширенного ключа или политик применения
•	Исправление ошибок политики подачи заявок
•	Обновление шаблонов пользователей с версии 1 на версию 2

Для создания или изменения шаблона с целью замещения существующего сертификата:

1.	Откройте Свойства (Properties) замещающего шаблона и выберите вкладку Вытесняемые шаблоны (Superseded Templates) как показано ниже на Рисунке 20.
2.	Нажмите кнопку Добавить (Add).
3.	Выберите шаблон, который необходимо заместить, как показано ниже на Рисунке 19. Нажмите OK. Рисунок 19 - Выбор замещаемого шаблона
4.	Шаблон будет добавлен на вкладку Вытесняемые шаблоны (Superseded Templates) как показано ниже на рисунке 20. Нажмите кнопку Добавить (Add) и повторите действия, если необходимо добавить дополнительные шаблоны, которые будут замещены новым шаблоном. В противном случае нажмите OK. Рисунок 20 - Отображение списка замещаемых шаблонов

Примечание. Замещение сертификата всегда приводит к генерированию новых закрытых ключей для пользователя или компьютера.

Наверх страницы

Страницы: < 1 2 3 >

Автор: Александр Пришляк aka Alexander_Grig • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 08.07.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: