Обновлено: 17 февраля 2003 г.
Автор: Девид Б. Кросс (David B. Cross) (EN)
Переведено: 4 июня 2006 г.
Благодарности
Майкл Кесслер (Michael Kessler) (EN), технический редактор, корпорация Microsoft
Аннотация
Операционная система Microsoft® Windows® XP вносит ряд улучшений в службы сертификации и инфраструктуру открытых ключей (PKI). Эти улучшения позволяют организациям автоматически предоставлять пользователям сертификаты на основе открытых ключей.
Эта статья рассчитана на ИТ-менеджеров и системных администраторов. Она позволяет ознакомиться с техническими особенностями автоматической подачи заявок на сертификаты, всесторонне рассмотреть ее работу и получить основную информацию по устранению возможных проблем в работе.
На этой странице
Введение
Операционная система Windows® XP предоставляет пользователям и компьютерам возможность выполнять автоматическую подачу заявок на сертификаты, включая сертификаты для смарт-карт.
Использование функции автоматической подачи заявок позволяет организациям управлять жизненным циклом сертификатов пользователей. Этот процесс включает в себя:
| • | Обновление сертификатов |
| • | Замещение сертификатов |
| • | Требование нескольких подписей |
Быстро и просто
Автоматическая подача заявок на сертификаты основана на сочетании установок групповой политики и шаблонов сертификатов версии 2. Это сочетание позволяет клиенту ОС Windows XP Professional подавать заявки на сертификаты пользователей во время их входа в свой домен, подавать заявку на сертификаты компьютера при его загрузке, а также периодически обновлять сертификаты в промежутке между этими событиями.
Автоматическая подача заявок на сертификаты пользователей обеспечивает быстрый и простой способ выдачи сертификатов пользователям, а также позволяет использовать возможности инфраструктуры открытых ключей (PKI) (такие, как вход в систему с помощью смарт-карт, EFS, SSL, S/MIME и прочих) в среде службы каталогов Active Directory®. Использование автоматической подачи заявки для пользователя позволяет минимизировать затраты на обычное развертывание инфраструктуры открытых ключей (PKI), а также уменьшить совокупную стоимость владения (TCO) внедрения инфраструктуры открытых ключей (PKI), когда клиенты ОС Windows XP Professional сконфигурированы для работы с Active Directory.
Поддержка отложенных запросов сертификатов и обновления сертификатов
Автоматическая подача заявки пользователем в ОС Windows XP Professional поддерживает как отложенные запросы сертификатов, так и обновление сертификатов.
Запрос сертификата
Вы можете запросить сертификат у центра сертификации (CA) ОС Windows Server 2003 вручную или автоматически. Этот запрос будет действителен до получения административного одобрения или до окончания процесса проверки. После того, как запрос будет одобрен и сертификат выдан, процесс автоматической подачи заявки завершается, после чего происходит автоматическая установка Вашего сертификата.
Обновление сертификата
Процесс обновления сертификата пользователя с истекшим сроком действия также использует все возможности механизма автоматической подачи заявок. Сертификаты автоматически обновляются от имени пользователя, в соответствии с данными, имеющимися в шаблоне сертификата.
Зависимости
Система автоматической подачи заявки имеет несколько требований к имеющейся инфраструктуре. Необходимо наличие:
| • | Windows Server 2003 и обновлений групповой политики |
| • | Контроллера домена Windows 2000 или Windows Server 2003 |
| • | Клиента Windows XP |
| • | Windows Server 2003 Enterprise Edition, работающего в качестве центра сертификации (CA) предприятия |
Примечание. Настройки групповой политики для автоматической подачи заявки могут использоваться только на компьютере, работающем под управлением ОС Windows XP Professional или Windows Server 2003.
Работа автоматической подачи заявок
В данном разделе описывается работа автоматической подачи заявок. Рассматриваемые в данном разделе темы включают в себя: автоматическую подачу заявки и вход в систему, анализ составляющих процесса автоматической подачи заявки и работу с интерфейсом центра сертификации.
Важные моменты
Автоматическая подача заявки лучше всего работает в среде Windows Server 2003 Enterprise Edition с развернутой инфраструктурой Active Directory для клиентов Windows XP.
Только компьютеры домена могут пользоваться функцией автоматической подачи заявок на сертификаты. Хотя процесс автоматической подачи заявки не требует обязательной принадлежности компьютера к домену, процесс входа в систему не запустит программу userinit.exe, если пользователь или компьютер не являются членом домена.
Автоматическая подача заявок и вход в систему
Процесс автоматической подачи заявок запускается процессом входа в систему (Winlogon). Он разработан таким образом, чтобы его можно было активировать и управлять им с помощью групповой политики домена. Как групповая политика компьютеров, так и групповая политика пользователей могут активировать автоматическую подачу заявки для компьютеров и пользователей. По умолчанию параметры групповой политики применяются при перезагрузке (для компьютеров) или во время входа в систему (для пользователей), и обновляются каждые восемь часов. Интервал обновления может быть задан с помощью групповой политики.
Для получения дополнительной информации обратитесь к разделу «Обновление групповой политики» данной статьи.
Примечание. При разблокировании рабочей станции процесс автоматической подачи заявки не запустится автоматически. Только полностью интерактивный процесс входа в систему или обновление групповой политики могут его запустить.
Процесс автоматической подачи заявок
Процесс автоматической подачи заявок управляет всеми аспектами подачи заявок на сертификаты, обновления и хранения сертификатов, кроме тех случаев, когда действия пользователя явно определены в шаблоне сертификата в Active Directory. При запуске процесса автоматической подачи заявки процессом Winlogon или групповой политикой по истечении интервала обновления, операционная система запрашивает службу каталогов Active Directory о загрузке соответствующего хранилища сертификатов в локальное хранилище на клиентский компьютер (например, контейнера NTAuth и шаблонов сертификата). Это выполняется прозрачно в асинхронном режиме.
Список необходимых ресурсов
Процесс автоматической подачи заявки обработает список шаблонов и создаст список необходимых ресурсов для всех шаблонов, имеющих для шаблона запись управления доступом ACE (ACE - access control entry) на автоматическую подачу заявки для данного компьютера или пользователя. Компьютер и/или пользователь также должен иметь разрешение на чтение, указанное в записи ACE для шаблона, или шаблон не будет перечислен вообще. «Мое» ("MY") хранилище пользователей или компьютеров также будет обработано для обнаружения отозванных сертификатов, сертификатов без закрытых ключей, сертификатов с неверным сроком действия и т.д., которые будут добавлены в список необходимых ресурсов.
Возможно, что у пользователя могут быть сертификаты в «Моем» хранилище, но не будет соответствующих разрешений, включенных в список управления доступом (ACL) для шаблона в службе каталогов Active Directory. Такие сертификаты будут обработаны и добавлены в список, но подачу заявки скорее всего выполнить не удастся из-за того, что разрешения, установленные для шаблона, не позволяют выполнять подачу заявки или обновление.
Элементы списка необходимых ресурсов могут быть удалены в том случае, если обнаруживается подходящий, действующий сертификат в «Моем» хранилище. Если шаблон сертификата будет помечен как требующий проверки Active Directory на наличие сертификата, то в службу каталогов Active Directory будет подан запрос на наличие дубликата сертификата, содержащегося в атрибуте userCertificate объекта пользователя, и в случае успеха требование будет удалено из списка.
Примечание. Проверка Active Directory на наличие сертификата, связанного с объектом пользователя или компьютера, может повлиять на производительность и может вызвать задержки в обработке процесса автоматической подачи заявки из-за требований сети и каталога к выполнению этой операции. Это вызвано тем, что в соответствии с атрибутом userCertificate действующие сертификаты будут загружены и проверены. При этом без загрузки сертификата и обработки его локально невозможно запросить каталог по протоколу LDAP, для получения простого ответа, действительно ли данный тип сертификата существует.
Процесс автоматической подачи заявки также управляет хранилищем пользователя "REQUEST". Этот включает в себя перечисление всех отложенных запросов в хранилище и, если такое возможно, последующую установку ожидаемого сертификата, полученного от центра сертификации (CA). Архивирование или удаление сертификата, основанное на правиле для шаблона сертификата, выполняется следующим образом:
| • | Если уже существует запрос в хранилище "REQUEST", то этот сертификат будет удален из общего списка необходимых ресурсов. |
| • | Если запрос находился в состоянии ожидания более чем 60 дней, то он будет удален, а список необходимых ресурсов останется без изменений. |
Автоматическая подача заявки может использоваться для восстановления отложенных запросов только для сертификатов, в которых присутствует информация о шаблоне (например, информация о шаблоне может содержаться в начальном запросе). Для процесса автоматической подачи заявки не нужно использовать соответствующий список ACL, чтобы обработать отложенный запрос сертификата. Если пользователь осуществляет автоматическую подачу заявки с помощью веб-страницы и запрос сертификата отложен, то автоматическая подача заявки сама обработает отложенный запрос для пользователя.
Правила замещения шаблонов будут обработаны и в список необходимых ресурсов будут внесены соответствующие дополнения и исключения. Например, если в шаблоне указывается, что "X замещает Y," то это означает, что если Вам необходимо было выполнять автоматическую подачу заявки для получения X и Y , то в действительности Вам необходимо ее выполнить только для X. В случае если у Вас есть только Y, то Вам необходимо также получить и X. Это последний шаг в обработке правил, после которого список необходимых ресурсов считается завершенным.
Для всех шаблонов, не требующих взаимодействия с пользователем, процесс автоматической подачи заявки будет создавать запросы в фоновом режиме и направлять их в центр сертификации (CA). После завершения этого процесса список необходимых ресурсов обновляется.
При выдаче сертификата центром сертификации (CA) сертификат устанавливается в «Моем» хранилище пользователя или компьютера. Если сертификат находится в состоянии ожидания, что определяется наличием флажка Одобрения диспетчера сертификатов ЦС (CA Manager approval) в оснастке Шаблон сертификатов (Certificate Template) консоли управления MMC, то информация о запросе сохраняется в хранилище REQUEST.
Всплывающие уведомления интерфейса пользователя
Для всех запросов, требующих взаимодействия с пользователем согласно шаблону сертификата, вызываются всплывающие уведомления интерфейса пользователя.
| • | Приблизительно в течение 60 секунд после входа в систему отображается всплывающие уведомления интерфейса пользователя. Если шаблоном сертификата никакое взаимодействие с пользователем не определено, то всплывающие уведомления интерфейса пользователя отображены не будут. Такая задержка вводится для ускорения времени отклика приложений и оболочки во время входа в систему и загрузки компьютера. |
| • | Если же 60-ти секундная задержка нежелательна, то с согласия пользователя можно добавить следующий ключ в реестр: |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEExpress
Не рекомендуется использовать данный ключ реестра при обычной работе. Его использование возможно лишь с одобрения пользователя.
Важно: Сертификаты компьютеров не поддерживают взаимодействие с пользователем, поэтому они не должны использоваться совместно с отложенными запросами.
| • | Всплывающие уведомления интерфейса пользователя ожидают, когда пользователь обратит на них внимание и активирует щелчком мыши. Учтите то, что приблизительно через 15 секунд всплывающее уведомление будет заменена значком сертификата, который можно будет активировать с помощью мыши в области уведомлений на панели задач. |
| • | Если в течение 7 часов активация не будет выполнена, то всплывающее уведомление интерфейса пользователя исчезнет и процесс будет повторен при следующем входе в систему, перезагрузке компьютера или по истечении интервала обновления групповой политики, независимо от того, какое событие произойдет первым. |
| • | Как только пользователь активирует всплывающее уведомление интерфейса пользователя, будет выполнена проверка хранилища "REQUEST" на наличие отложенных запросов. |
Выдача шаблонов
Как только шаблон сертификата c надлежащей записью ACE будет перечислен, процесс автоматической подачи заявки начнет поиск в Active Directory центра сертификации предприятия, который бы мог выдать шаблон. При обнаружении более одного центра сертификации предприятия, клиент начинает их проверять в случайном порядке (с целью равномерного распределения нагрузки) до тех пор, пока не будет найден центр сертификации, готовый выдать сертификат.
Клиент связывается с центром сертификации с помощью интерфейса DCOM (DCOM - Distributed Component Object Model) и предоставляет контекст безопасности через DCOM для обеспечения запроса с проверкой подлинности. Модуль политики по умолчанию центра сертификации предприятия приводит профили сертификатов и безопасность подачи заявки в соответствие с тем, как это определено в шаблонах.
В случае если центр сертификации настроен так, чтобы откладывать запросы до тех пор, пока администратор или диспетчер сертификатов не проверят и не одобрят их, автоматическая подача заявки будет периодически запрашивать центр сертификации о наличии одобренных запросов во время каждого интервала обновления групповой политики. Автоматическая подача заявки также будет осуществлять повторную подачу заявки на шаблон в том случае, если установлен параметр Подать повторную заявку для всех владельцев сертификатов (Reenroll all certificate holders). Для получения дополнительной информации обратитесь к разделу «Обновление сертификатов» этой статьи.
Интерфейсы центра сертификации
Если используется центр сертификации, разработанный сторонним производителем (не Microsoft), то для того, чтобы принять запрос автоматической подачи заявки от клиента Windows XP, он должен эмулировать интерфейс ICertRequest2 так, как это определено в документации Platform SDK (Platform Software Development Kit).
Процесс автоматической подачи заявки использует следующие методы для подачи заявки и связи с центром сертификации предприятия:
| • | GetCAProperty |
| • | Submit |
| • | GetLastStatus |
| • | GetRequestId |
| • | GetFullResponseProperty |
| • | GetCertificate |
| • | Release |
| • | RetrievePending |
Описание данных методов можно найти в документации Platform SDK (Platform Software Development Kit) (EN).
Настройка шаблонов сертификатов
В данном разделе описывается настройка шаблонов сертификатов и приводится в качестве примера пошаговое руководство по созданию нового шаблона для автоматической подачи заявки на сертификат смарт-карты. Кроме того, описываются разрешения для шаблона сертификата.
Важный момент
Для того, чтобы можно было пользоваться автоматической подачей заявки, необходимо сначала создать шаблон сертификата в службе каталогов Active Directory.
Настройки, заданные по умолчанию
По умолчанию заданы следующие настройки:
| • | Настраивать шаблоны в домене, в котором производилось обновление до Microsoft Windows 2000, могут только администраторы корневого домена. |
| • | Настраивать шаблоны заново установленных доменов Microsoft Windows 2000 могут как администраторы корневого домена, так и администраторы предприятия. |
| • | Списки ACL шаблона сертификата отображаются в оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC. |
| • | Шаблоны сертификатов можно клонировать и редактировать с помощью оснастки Шаблоны сертификатов (Certificate Templates) консоли MMC. |
Примечание. Шаблоны версии 2 поддерживает только домен на основе Windows Server 2003 и только Windows Server 2003 Enterprise Edition может выпускать сертификаты шаблона версии 2.
Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты
Для создания нового шаблона для автоматической подачи заявки на сертификат смарт-карты:
| 1. | Войдите под учетной записью администратора домена. |
| 2. | В меню Пуск (Start) нажмите Выполнить (Run). |
| 3. | В поле Открыть (Open) диалогового окна Выполнить (Run) введите mmc.exe и затем нажмите OK. |
| 4. | В меню Консоль (File) выберите Добавить или удалить оснастку (Add/Remove Snap-in). |
| 5. | В диалоговом окне Добавить или удалить оснастку (Add/Remove Snap-in) нажмите Добавить… (Add). |
| 6. | В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) выберите Шаблоны сертификатов (Certificate Templates) и затем нажмите Добавить (Add). Примечание. Оснастка Шаблоны сертификатов (Certificate Templates) консоли MMC доступна в серверной версии Windows Server 2003 или в ОС Windows XP Professional с установленным Пакетом инструментов для администрирования сервера (Administration Tools Pack installation on the Server media). |
| 7. | Нажмите Закрыть (Close). |
| 8. | Нажмите OK. Примечание. К оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC также можно получить доступ с помощью оснастки Центр сертификации (Certification Authority) консоли MMC, выбрав папку Certificate Templates, щелкнув по ней правой кнопкой мыши и выбрав Управление (Manage). |
| 9. | В дереве консоли выберите Шаблоны сертификатов (Certificate Templates). |
| 10. | В области сведений щелкните правой кнопкой по шаблону Пользователь со смарт-картой (Smartcard User) и затем щелкните Скопировать шаблон (Duplicate Template), как показано ниже на Рисунке 1.
Рисунок 1 - Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты Откроется диалоговое окно свойств нового шаблона с открытой вкладкой Общие (General). |
| 11. | В поле Отображаемое имя шаблона (Template display name) введите уникальное название для шаблона, как показано ниже на Рисунке 2.
Рисунок 2 - Задание названия шаблону |
| 12. | Выберите вкладку Обработка запроса (Request Handling), как показано ниже на рисунке 3. Эта вкладка используется для определения способа обработки запроса сертификата (включая выбор поставщиков служб криптографии CSP (CSP-cryptographic service providers) и минимального размера ключа шифрования, которые будут использоваться шаблоном автоматической подачи заявки). (В данном примере используется поставщик служб криптографии (CSP) смарт-карты Gemplus GemSAFE, которая и будет разрешена для использования в этом шаблоне. Если у пользователя нет такой смарт-карты, то ему не удастся воспользоваться автоматической подачей заявки для этого шаблона сертификата).
Рисунок 3 - Определение способа обработки запроса сертификата Важно: Если на данной вкладке разрешить более одного поставщика служб криптографии (CSP) для смарт-карты, то во время выполнения подачи заявки на этот шаблон будет выдан запрос пользователю о каждом выбранном поставщике служб криптографии (CSP). Действия могут отличаться в зависимости от наличия поставщиков служб криптографии (CSP), доступных на клиентском компьютере. Если у пользователя только одна смарт-карта, то ему необходимо будет отклонить все выдаваемые запросы об остальных недоступных поставщиках служб криптографии (CSP). Данное поведение является особенностью продукта. Для успешного выполнения подачи заявки необходимо также указать минимальный размер ключа шифрования, который поддерживается выбранным поставщиком служб криптографии (CSP). |
| 13. | Установите флажок Для автоматической подачи требуется ввод пользователя (Require user input for autoenrollment), как показано выше на Рисунке 3 (при этом для успешного выполнения подачи заявки на сертификат смарт-карты необходимо будет участие пользователя). Важно: Данная опция не нужна, если шаблоны сертификатов не предполагается использовать для смарт-карт или если пользователь не хочет отвечать на появляющиеся запросы подачи заявки на сертификаты. Для сертификатов компьютеров не нужно устанавливать этот флажок. Если его установить, компьютер не сможет выполнить автоматическую подачу заявки. |
| 14. | Выберите вкладку Имя субъекта (Subject Name). Данная вкладка используется для определения имени субъекта и свойства сертификата. Рекомендуется использовать заданные по умолчанию параметры для осуществления подачи заявки на шаблон сертификата смарт-карты. |
| 15. | Выберите вкладку Расширения (Extensions). На данной вкладке можно указать, каким образом различные расширения будут добавлены в шаблон сертификата при подаче заявки. Рекомендуется использовать настройки, заданные по умолчанию. Примечание. Политики применения (Application Policies) являются заменой Расширенного использования ключа (Extended Key Usage (EKU)) в Windows Server 2003, хотя EKU все еще поддерживается для старых приложений и клиентских операционных систем. |
| 16. | Выберите вкладку Безопасность (Security). На данной вкладке можно указать пользователей и группы пользователей, которые могут выполнять подачу заявки или автоматическую подачу заявки на шаблон сертификата. Для того чтобы иметь возможность автоматически подать заявку на шаблон сертификата, пользователь или группа должны иметь разрешения: Чтение (Read), Подача заявки (Enroll) и Автоматическая подача заявки (Autoenroll). |
| 17. | Для завершения нажмите OK. В столбце Автоматическая подача заявки (Autoenrollment) теперь должно отображаться Разрешено (Allowed). |
Примечание. Если шаблон подходит для автоматической подачи заявки, то это будет автоматически отражено на статусе в столбце Автоматическая подача заявки (Autoenrollment). Пользователь не сможет изменить значение статуса. Автоматическая подача заявки не будет разрешена в том случае, если шаблон требует наличия более чем одной подписи центра регистрации (RA - registration authority) или если шаблон поставляется запросившей его стороной. Столбец не отражает состояние списка ACL автоматической подачи заявки шаблона. Важно: Смарт-карта, выпущенная для клиента Windows XP или Станции подачи заявок (Enrollment Station) Windows XP (центра регистрации) будет совместима только с клиентом Windows XP. Между различными смарт-картами и производителями поставщиков криптографии (CSP) нет полной совместимости. Для получения дополнительной информации о возможности использования одной смарт-карты для входа как в ОС Windows 2000, так и в ОС Windows XP, обратитесь к производителям смарт-карты и CSP.
Разрешения шаблона сертификата
Для того, чтобы пользователь или компьютер могли выполнять подачу заявки на шаблон сертификата, для шаблона должен быть соответствующий набор разрешающих записей ACE в службе каталогов Active Directory. Пользователь или компьютер должны иметь разрешения, как на чтение, так и на запись для того, чтобы выполнить подачу заявки на выбранный шаблон сертификата.
| • | Разрешение на чтение (Read permission) позволяет пользователю просматривать шаблоны |
| • | Разрешение на подачу заявки (Enroll permission) приводится в исполнение центром сертификации предприятия, когда пользователь подает запрос на сертификат выбранного шаблона. Центр сертификации предприятия должен иметь разрешение на чтение в шаблоне для того, чтобы перечислить шаблон в каталоге и выпускать сертификаты, основанные на этом шаблоне. Обычно центр сертификации предприятия по умолчанию включен в группу Прошедшие проверку пользователи (Authenticated Users), у которой есть разрешение на чтение в шаблоне. |
| • | Разрешение на полный доступ (Full Control permission) по умолчанию предоставлено группе администраторов предприятия и администраторов первичного домена, если выполнялась чистая установка домена на базе ОС Windows Server 2003. В том случае, если производилось обновление домена с ОС Windows 2000, то у администраторов предприятия по умолчанию не будет таких разрешений. Разрешение на полный доступ позволяет пользователям устанавливать и изменять разрешения для выбранного шаблона. |
| • | Разрешение на автоматическую подачу заявки (Autoenroll permission) устанавливается в шаблоне в том случае, если необходимо, чтобы пользователь или компьютер автоматически подавал заявку на выбранный шаблон сертификата. Разрешение на автоматическую подачу заявки необходимо пользователю в дополнение к разрешению на подачу заявки, для того чтобы выполнить подачу заявки на данный шаблон сертификата. Только шаблоны версии 2 или вновь созданные шаблоны могут иметь набор записей ACE автоматической подачи заявки. |
| • | Разрешение на запись (Write permission) позволяет пользователям изменять содержимое шаблона сертификата. Необходимо отметить, что сертификаты версии 2 можно изменять только при использовании ОС Windows Server 2003. Шаблоны сертификатов версии 1 позволяют изменять только списки управления доступом (ACL). |
Настройка центра сертификации предприятия
В данном разделе описывается настройка центра сертификации предприятия корпорации Microsoft необходимая после его создания для выпуска шаблонов сертификатов.
Настройка центра сертификации предприятия
Для настройки центра сертификации предприятия:
| 1. | В разделе Администрирование (Administrative Tools) откройте оснастку Центр сертификации (Certification Authority). |
| 2. | В дереве консоли откройте оснастку центр сертификации и затем выберите Шаблоны сертификатов (Certificate Templates), как показано ниже на Рисунке 4.
Рисунок 4 - Выбор шаблонов сертификатов |
| 3. | Щелкните правой кнопкой мыши Шаблон сертификата (Certificate Template), выберите Создать (New) и затем выберите Выдаваемый шаблон сертификата (Certificate Template to Issue). |
| 4. | В диалоговом окне Включение шаблонов сертификатов (Enable Certificate Templates), которое показано на Рисунке 5, выберите Auto Enroll Smartcard User, нажмите OK. (Шаблон сертификата с названием Auto Enroll Smartcard User был создан ранее. Обратитесь к разделу «Создание нового шаблона для автоматической подачи заявки смарт-карты»).
Рисунок 5 - Включение шаблона сертификата в центре сертификации Примечание. Возможна ситуация, когда центр сертификации не сможет мгновенно выдать шаблон сертификата из-за задержки репликации и кэширования шаблона в реестре. Время выдачи зависит от задержки репликации между контроллерами домена. |
| 5. | Закройте оснастку Центр сертификации (Certification Authority) консоли MMC. |
Настройка групповой политики
В данном разделе описывается настройка групповой политики для сайта, домена или подразделения.
Настройка групповой политики
Для обеспечения автоматической подачи заявки на сертификаты в домене необходимо выполнить настройку групповой политики для сайта, домена или подразделения.
Для настройки групповой политики:
| 1. | Откройте оснастку Active Directory – пользователи и компьютеры (Active Directory - Users and Computers) консоли MMC. |
| 2. | Щелкните правой кнопкой мыши на сайте, домене или подразделении, для которого необходимо настроить групповую политику, и выберите Свойства (Properties). |
| 3. | Выберите вкладку Групповая политика (Group Policy) и нажмите кнопку Изменить (Edit), как показано ниже на Рисунке 6.
Рисунок 6 - Выбор настроек параметров групповой политики Примечание. Настройка политики компьютера для автоматической подачи заявки на сертификаты компьютера и контроллера домена производится аналогично, хотя и управляется через политику компьютера групповой политики. |
| 4. | Выберите Параметры конфигурации пользователя (User Configuration settings), затем Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings) и затем Политики открытого ключа (Public Key Policies). Щелкните правой кнопкой по объекту Параметры автоматической подачи заявок (Autoenrollment Settings), как показано ниже на Рисунке 7, затем выберите Свойства (Properties).
Рисунок 7 - Выбор параметров автоматической подачи заявки |
| 5. | Убедитесь, что переключатель установлен в положение Подавать заявки на сертификаты автоматически (Enroll certificates automatically), как показано ниже на Рисунке 8. Установите также имеющиеся два флажка, чтобы обеспечить автоматическое обновление, очистку сертификатов и регистрацию в службе каталогов Active Directory.
Рисунок 8 - Выбор параметров автоматической подачи заявки |
| 6. | Нажмите OK. Теперь автоматическая подача заявки включена. |
Автоматическая подача заявок пользователем
В данном разделе описываются запуск процесса автоматической подачи заявки вручную и с помощью смарт-карты.
Важные моменты
В отличие от автоматической подачи заявок на сертификаты других типов, автоматическая подача заявки на сертификат пользователя смарт-карты требует ручного вмешательства. Как только автоматическая подача заявки будет разрешена, во время очередного интервала обновления групповой политики (по умолчанию он равен 8 часов) или при следующем входе в систему пользователь получит всплывающее уведомление с информацией в области уведомлений панели задач.
Запуск автоматической подачи заявки вручную
Можно запустить выполнение автоматической подачи заявки вручную с помощью оснастки Сертификаты (Certificates) консоли MMC.
Для запуска автоматической подачи заявки вручную:
| 1. | Войдите в домен с соответствующей учетной записью пользователя. |
| 2. | В меню Пуск (Start) выберите Выполнить (Run). |
| 3. | Введите "mmc.exe" и нажмите клавишу Enter. При этом появится пустая оболочка консоли MMC. |
| 4. | В меню Консоль (File) выберите команду Добавить или удалить оснастку… (Add/Remove Snap-In). Появится диалоговое окно со списком оснасток, добавленных в оболочку консоли MMC. |
| 5. | Нажмите кнопку Добавить… (Add). При этом отобразится список зарегистрированных на данном компьютере оснасток. |
| 6. | Щелкните дважды на оснастке Сертификаты (Certificates). С помощью переключателя выберите значение моей учетной записи пользователя (My User Account) и нажмите кнопку Готово (Finish). В случае если необходимо выполнить подачу заявки на сертификат компьютера, такого как контроллер домена или веб-сервер, необходимо выбрать значение учетной записи компьютера (Computer account). |
| 7. | Нажмите Далее (Next). |
| 8. | Выберите Локальный компьютер (Local Computer), затем нажмите Готово (Finish). |
| 9. | Нажмите кнопку Закрыть (Close) в диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) и затем нажмите OK в диалоговом окне Добавить/удалить оснастку (Add/Remove Snap-in). Теперь консоль MMC содержит личное хранилище сертификата пользователя. |
| 10. | Щелкните правой кнопкой мыши на корне дерева Сертификаты – текущий пользователь (Certificate–Current User). Из контекстного меню выберите Все задачи (All Tasks) и затем Подавать заявки на сертификаты автоматически (Automatically Enroll Certificates), как показано ниже на Рисунке 9.
Рисунок 9 – Сертификаты, используемые для автоматической подачи заявок |
Примечание. Приблизительно через минуту появится всплывающее уведомление Подача заявок на сертификаты (Certificate Enrollment) (это не случится в том случае, если был добавлен в реестр ключ, описанный ранее в разделе «Всплывающие уведомления интерфейса пользователя»).
Подача заявки на сертификаты смарт-карт
| 1. | При появлении всплывающего уведомления Подача заявок на сертификаты (Certificate Enrollment) нажмите на него или на соответствующий значок сертификата, расположенного в области уведомлений. Через короткий промежуток времени всплывающее уведомление автоматически исчезнет и останется только значок в области уведомлений. После щелчка по всплывающему уведомлению запустится пользовательский интерфейс автоматической подачи заявки. Примечание. Всплывающее уведомление подачи заявки на сертификаты и мастер используется не только для подачи заявки на сертификаты смарт-карт, но и для центра саморегистрации. |
| 2. | Для запуска мастера нажмите кнопку Начать (Start), как показано ниже на Рисунке 10. (Нажатие на кнопку Напомнить позже (Remind Me Later) приведет к тому, что всплывающее уведомление Подача заявок на сертификаты (Certificate Enrollment) появится вновь по истечении интервала обновления групповой политики или при следующем интерактивном входе в систему).
Рисунок 10 - Начало подачи заявки на сертификаты |
| 3. | Если в считыватель смарт-карт не будет вставлена смарт-карта с необходимым производителем поставщиков криптографии (CSP) для сертификата, то пользователю будет выдано сообщение, о необходимости сделать это. Вставьте смарт-карту и нажмите OK. Примечание. В случае если в шаблоне сертификата на компьютере пользователя содержится несколько производителей поставщиков криптографии (CSP), вероятно, пользователю придется пройти несколько этапов в мастере для того, чтобы выбрать необходимого производителя поставщиков криптографии (CSP) для смарт-карты. |
| 4. | Нажмите Отмена (Cancel), если отобразится неверный CSP для смарт-карты. При этом отобразится следующий CSP из списка шаблона сертификата. |
| 5. | Нажмите OK после того, как вставите подходящую смарт-карту. Работа мастера будет продолжена. Примечание. Если смарт-карта содержит закрытый ключ и сертификат в Slot0 (в контейнере по умолчанию), пользователь будет предупрежден о замене учетных данных на смарт-карте. Важно: из-за ограничений CSP смарт-карты, вход в ОС Windows 2000 и в ОС Windows XP со смарт-картой требует наличия этого Slot0 или контейнера по умолчанию для хранения сертификата и закрытого ключа, которые используются при входе в систему с помощью смарт-карты. В том случае, если смарт-карта содержит несколько ключей и сертификатов, то помеченными как контейнер по умолчанию будут только последний сгенерированный ключ и сертификат. |
| 6. | Нажмите Да (Yes), как показано ниже на Рисунке 11, если необходимо сменить учетные данные на смарт-карте. При этом работа мастера будет продолжена, как показано ниже на Рисунке 12. (В приведенном ниже примере показан один из возможных вариантов диалоговых окон, которые могут отображаться пользователю. Интерфейс работы пользователя со смарт-картой может меняться в зависимости от выбранного CSP).
Рисунок 11 - Диалоговое окно замены учетных данных
Рисунок 12 - Выполнение подачи заявки на сертификаты |
| 7. | В случае необходимости ввести PIN-код для смарт-карты, появится соответствующее диалоговое окно. Введите соответствующий PIN-код и нажмите клавишу Enter. Подача заявки при этом продолжится. Примечание. Если Вы неправильно ввели PIN-код, у Вас будет еще несколько попыток для этого (количество попыток ограничено). |
Успешное завершение или сбой при выполнении процесса автоматической подачи заявки будут отражены в журнале событий приложений локального компьютера. Также в случае неудачи при выполнении запроса на сертификат появится интерактивное диалоговое окно. Пользователь увидит диалоговое окно, показанное ниже на Рисунке 13, в случае возникновения ошибки при выполнении подачи заявки.
Рисунок 13 - Сообщение пользователю об ошибках, возникших во время выполнения подачи заявки на сертификат
Примечание. В случае успешной подачи заявки пользователи это сообщение не увидят.
Обновление сертификатов
В данном разделе рассматриваются интервалы обновления сертификатов, принудительное обновление сертификатов, а также обновление сертификатов для смарт-карт.
Интервалы обновления
ОС Windows XP при ее совместном использовании с центром сертификации ОС Windows Server 2003 будет автоматически осуществлять обновление сертификатов в те сроки, которые указаны в шаблоне сертификатов. Интервалы обновления указываются в шаблоне сертификата, при этом по умолчанию установлено значение в 6 недель (до истечения срока действия сертификата).
Основные критерии включения механизма обновления сертификата:
| • | Автоматическое обновление сертификата будет выполнено только в том случае, когда истечет 80% срока действия сертификата или по достижению интервала обновления, указанного в шаблоне (в зависимости от того, какое из этих двух событий наступит раньше). |
| • | Если интервал обновления имеет значение большее 20% срока действия сертификата, автоматическая подача заявки на обновление сертификата все равно не будет выполнена до тех пор, пока не будет достигнут порог в 80%. |
Принудительная повторная подача заявки
Администратор может заставить всех пользователей выполнить повторную подачу заявки на шаблон, обновив версию шаблона. При запросе службы каталогов Active Directory во время входа в систему выполняется проверка версии шаблона сертификата. Шаблон сертификата считается обновленным, если его версия изменилась в сторону увеличения, и все пользователи должны повторно осуществить подачу заявки на него.
Для ручного обновления версии шаблона, позволяющего заставить выполнить повторную подачу заявки, щелкните правой кнопкой мыши на шаблоне и выберите Подать повторную заявку для всех владельцев сертификатов (Reenroll All Certificate Holders), как показано ниже на Рисунке 14.
Рисунок 14 - Выполнение принудительной повторной подачи заявки вручную
Обновление сертификатов для смарт-карт
Возможности по обновлению смарт-карт могут отличаться в зависимости от типа CSP, используемого в смарт-карте, и того состояния, в котором находится смарт-карта в момент обновления. В общем случае, если на используемой смарт-карте имеется свободное место для дополнительной подачи заявки и при этом CSP обеспечивает поддержку нескольких ключей на смарт-карте, то при автоматической подаче заявки будет выдан запрос для карты на генерирование нового ключа для подачи заявки. В случае успеха сертификат будет записан на карту и контейнер будет помечен заданным по умолчанию. Контейнер, используемый по умолчанию, является единственным контейнером, который будет пересчитан процессом Winlogon для сертификата входа в систему со смарт-картой и ключа. В том случае, если смарт-карта или производитель поставщиков криптографии (CSP) не могут сгенерировать новый ключ на карте, будет повторно использован существующий ключ и новый сертификат будет принудительно установлен на карту. Данное событие будет занесено в журнал событий приложений компьютера.
Примечание. При выполнении автоматической подачи заявки всегда будут использоваться самые последние сгенерированные ключи для всех запросов на подачу заявки и обновление. Исключением из правил могут являться некоторые CSP смарт-карт, которые не поддерживают новые ключи ввиду ограничений смарт-карты. Событие о повторном использовании ключа будет занесено в журнал приложений на клиентском компьютере.
Обновление отозванных сертификатов
Отозванные сертификаты нельзя обновлять и использовать для подписания запросов на обновление. Это ограничено в самом процессе автоматической подачи заявки.
Функции автоматической подачи заявки
В данном разделе описывается удаление сертификатов с истекшим сроком действия и отозванных сертификатов, указанных в атрибуте userCertificate и в «Моем» хранилище пользователя.
Удаление просроченных и отозванных сертификатов
Процесс автоматической подачи заявки удаляет сертификаты с истекшим сроком действия и отозванные сертификаты из атрибута userCertificate объекта пользователя Active Directory. Это выполняется автоматически для гарантирования того, что только действующие и активные сертификаты будут использоваться в операциях шифрования.
Модуль выхода центра сертификации Windows Server 2003 также помогает обеспечивать управление учетными записями пользователей в Active Directory, но он может только удалять сертификаты с истекшим сроком действия, из-за особенностей работы отозванные сертификаты он не может удалять. В общем, нет смысла выдавать подписанный сертификат объекту пользователя в Active Directory, кроме как в целях хранения записи.
Управление сертификатами в «Моем» (MY) хранилище
Сертификатами в «Моем» хранилище пользователя также можно управлять с помощью процесса автоматической подачи заявки. Настройка автоматической подачи заявки на удаление сертификатов с истекшим сроком действия и отозванных сертификатов осуществляется с помощью шаблонов. Активировать эту возможность можно путем установки флажка на вкладке Обработка запроса (Request Handling) в диалоговом окне Свойства (Properties) выбранного шаблона сертификата, как показано ниже на Рисунке 15.
Рисунок 15 - Управление сертификатами
Если флажок Удалять отозванные и просроченные сертификаты (Delete revoked or expired certificates) не установлен, процесс автоматической подачи заявок будет выполнять архивирование всех сертификатов с истекшим сроком действия и отозванных сертификатов в «Моем» хранилище пользователя. Как было описано ранее, такая установка не влияет на атрибут userCertificate объекта пользователя в Active Directory.
Примечание. Использование этой функции возможно только с ключами шифрования, с ключами подписи это не возможно.
Обновление групповой политики
В данном разделе описывается обновление групповой политики пользователя и компьютера.
Групповая политика пользователя и компьютера
Процесс автоматической подачи заявки пользователем запускается процессом Winlogon (интерактивный вход в систему с помощью комбинации клавиш CTRL-ALT-DELETE) или при достижении интервалов обновления групповой политики. Обычно обновление групповой политики пользователя осуществляется при входе в систему, а обновление групповой политики компьютера - при перезагрузке компьютера. Групповую политику также можно обновить вручную, используя утилиту gpupdate.exe, которая включена в состав ОС Windows XP.
Принудительное обновление групповой политики в ручном режиме
Для принудительного обновления групповой политики пользователя или компьютера в ручном режиме необходимо запустить из командной строки утилиту gpupdate.exe с параметром "-Force" так, как показано ниже на Рисунке 16.
Рисунок 16 - Принудительное обновление групповой политики
Дополнительные возможности
В данном разделе описываются шаблоны, для которых необходимо одобрение Диспетчера сертификатов, а также описывается центр саморегистрации и то, каким образом осуществляется замещение шаблона сертификата.
Запрос одобрения Диспетчера сертификатов
Для некоторых особых шаблонов сертификатов может понадобиться, чтобы Диспетчер сертификатов (исполнитель центра сертификации) одобрил запрос перед тем, как центр сертификации подпишет и выдаст сертификат. Это специальное дополнительное средство безопасности работает в тесной взаимосвязи с автоматической подачей заявки. Его использование можно задать на вкладке Требования выдачи (Issuance Requirements) выбранного сертификата, как показано ниже на Рисунке 17. Установка этого параметра замещает все настройки, применяемые к отложенным запросам, центра сертификации.
Как только потребуется одобрение Диспетчера сертификатов, все запросы автоматической подачи заявки, направленные в центр сертификации, переводятся в состояние "ожидания" и сертификат не будет выдан до тех пор, пока Диспетчер сертификатов не одобрит запрос вручную.
Рисунок 17 - Установка требования одобрения Диспетчера сертификатов
Процесс автоматической подачи заявки будет периодически проверять центр сертификации на наличие одобренных запросов и автоматически устанавливать сертификаты. Отложенные запросы поддерживаются для сертификатов смарт-карт, пользователя и компьютера. В случае использования смарт-карт, при выдаче сертификата пользователю будет выдано сообщение о необходимости вставить смарт-карту в считыватель для того, чтобы сертификат был записан на карту.
Примечание. Процесс автоматической подачи заявок поддерживает не более одной подписи на шаблон. Такое ограничение используется для поддержки центра саморегистрации, описанного в следующем разделе. В случае необходимости получения нескольких подписей для подачи заявки на сертификат, подачу заявки необходимо выполнять вручную.
Центр саморегистрации
Центр саморегистрации является дополнительным средством подачи заявки на сертификаты, которое можно использовать совместно с процессом автоматической подачи заявок.
Центр саморегистрации использует подачу заявок на сертификат, основанную на наличии ранее полученного сертификата, при которой закрытый ключ пользователя используется для подписи нового запроса сертификата. Протокол CMC (Certificate Management Messages поверх CMS) используется для случая, когда одна или более подписей может или должна использоваться для подачи заявки на сертификат. Требования центра саморегистрации определены в шаблоне сертификата, которым можно управлять с помощью оснастки Шаблоны сертификатов (Certificate Templates) консоли MMC.
| • | Для добавления требования выдачи (подписи) в шаблон сертификата, откройте шаблон и выберите вкладку Требования выдачи (Issuance Requirements). |
| • | Для добавления требования выдачи или требования подписи поставьте флажок Указанного числа авторизованных подписей (This number of authorized signatures) и укажите необходимое количество в соответствующем поле, как показано ниже на Рисунке 18. |
Как только Вы это сделаете, можете добавлять особые требования к сертификату подписи.
Рисунок 18 - Указание числа авторизованных подписей
Пример использования центра саморегистрации: Для сертификата входа в систему со смарт-картой можно добавить политику применения, которая будет использоваться для осуществления подачи заявки на сертификат Шифрованной файловой системы (EFS). Тем самым будет определено, что пользователь подписал свой запрос для автоматической подачи заявки на сертификат EFS действующим сертификатом смарт-карты. При активации автоматической подачи заявки на сертификат EFS пользователю будет сообщено о необходимости вставить смарт-карту и ввести PIN-код.
Замещение шаблонов сертификатов
Автоматическая подача заявок на сертификат также поддерживает концепцию замещения шаблона или ранее полученного сертификата. Замещение шаблона позволяет администратору подавать повторную заявку, изменять или комбинировать выпущенные ранее подачи заявок на сертификаты в новой подаче заявки на сертификат. Процесс автоматической подачи заявок всегда проверяет существующие сертификаты в хранилище пользователя и определяет, был ли замещен шаблон, использованный в выданном сертификате. Если шаблон сертификата был замещен, пользователь автоматически будет выполнять запрос с новым шаблоном, а старые сертификаты будут удалены или перемещены в архив в зависимости от настроек шаблона.
Преимущества
Использование замещения шаблонов сертификатов наиболее полезно в следующих случаях:
| • | Изменение срока действия сертификата |
| • | Увеличение длины ключа |
| • | Добавление использования расширенного ключа или политик применения |
| • | Исправление ошибок политики подачи заявок |
| • | Обновление шаблонов пользователей с версии 1 на версию 2 |
Для создания или изменения шаблона с целью замещения существующего сертификата:
| 1. | Откройте Свойства (Properties) замещающего шаблона и выберите вкладку Вытесняемые шаблоны (Superseded Templates) как показано ниже на Рисунке 20. |
| 2. | Нажмите кнопку Добавить (Add). |
| 3. | Выберите шаблон, который необходимо заместить, как показано ниже на Рисунке 19. Нажмите OK.
Рисунок 19 - Выбор замещаемого шаблона |
| 4. | Шаблон будет добавлен на вкладку Вытесняемые шаблоны (Superseded Templates) как показано ниже на рисунке 20. Нажмите кнопку Добавить (Add) и повторите действия, если необходимо добавить дополнительные шаблоны, которые будут замещены новым шаблоном. В противном случае нажмите OK.
Рисунок 20 - Отображение списка замещаемых шаблонов |
Примечание. Замещение сертификата всегда приводит к генерированию новых закрытых ключей для пользователя или компьютера.
Поддерживаемое оборудование
В данном разделе приводится список смарт-карт и считывателей смарт-карт, поддержка которых осуществляется по умолчанию в ОС Windows 2000 и ОС Windows Server 2003.
Таблица 1 – Считыватели смарт-карт
| Название | Тип интерфейса | Полное название | Windows 2000 | Windows XP |
| BULL SmarTLP3 | Serial | Да | Да | |
| GEMPLUS GCR410P | Serial | GemPC410 | Да | Да |
| GEMPLUS GPR400 | PCMCIA | GemPC400 | Да | Да |
| Litronic 220 | Serial | Да | Да | |
| Rainbow Technologies SCR3531 | Serial | Да | Нет | |
| Schlumberger Reflex 20 | PCMCIA | Да | Да | |
| Schlumberger Reflex 72 | Serial | Да | Да | |
| SCM Microsystems SCR120 | PCMCIA | Да | Да | |
| SCM Microsystems SCR200 | Serial | Да | Да | |
| SCM Microsystems SCR300 | USB | Да | Да | |
| GEMPLUS GemPC430 | USB | Нет | Да | |
| HP ProtectTools | Serial | Нет | Да | |
| Schlumberger Reflex Lite | Serial | Нет | Да | |
| SCM Microsystems SCR111 | Serial | Нет | Да | |
| Systemneeds External | Serial | Нет | Да | |
| Omnikey AG CardMan 2020 | USB | Utimaco CardMan | Нет | Да |
| Omnikey AG CardMan 4000 | PCMCIA | Utimaco CardMan | Нет | Да |
| Omnikey AG CardMan 2010 | Serial | Utimaco CardMan | Нет | Да |
Таблица 2 – Смарт-карты
| Название | Емкость | Windows 2000 | Windows XP |
| Gemplus GemSAFE | 4k | Да | Да |
| Schlumberger Cryptoflex | 4k | Да | Да |
| Schlumberger Cryptoflex | 8k | Да | Да |
| Gemplus GemSAFE | 8k | Нет | Да |
| Infineon (formerly Siemens) | Нет | Да | |
| Schlumberger Cyberflex Access | 16k | Нет | Да |
Устранение проблем в работе
В данном разделе рассматриваются возможные действия, которых необходимо придерживаться при решении проблем в работе процесса автоматической подачи заявки. Кроме того описывается, что необходимо делать для того, чтобы быть готовым к сбоям в автоматической подаче заявки, а также приводится в качестве примера список сообщений службы регистрации событий.
Важные моменты
При решении проблем с процессом автоматической подачи заявки необходимо помнить следующее:
Клиенты центра сертификации Windows XP и Windows Server 2003 в качестве функции безопасности всегда используют связь с контроллерами домена по LDAP. Перед развертыванием автоматической подачи заявки или центра сертификации Windows Server 2003 необходимо установить третий пакет обновлений (SP3) на всех контроллерах домена, на которых используется ОС Windows 2000.
При автоматической подаче заявки из службы каталогов Active Directory автоматически загружаются корневые и перекрестные сертификаты каждый раз, когда обнаруживается изменение в каталоге, или когда осуществляется связь с другим контроллером домена. Если сторонний корневой сертификат или перекрестный сертификат будет удален из хранилища локального компьютера, то при автоматической подаче заявки он не будет загружен снова до тех пор, пока не возникнут изменения в службе каталогов Active Directory или пока не будет установлена связь с новым контроллером домена.
Чтобы вручную инициировать новую загрузку удалите следующие ключи в реестре и все зависимые ключи:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache
Шифрованная файловая система EFS всегда пытается подать заявку на базовый шаблон шифрования EFS. Драйвер EFS генерирует запрос автоматической подачи заявки, который автоматическая подача заявки пытается выполнить. Для тех получателей, которые желают убедиться в том, что для EFS используется особый шаблон (например, включающий архивацию ключа), новый шаблон должен заменить шаблон базового шифрования EFS. Этим гарантируется то, что процесс автоматической подачи заявок больше не будет пытаться выполнять заявку на базовое шифрование EFS.
Вход в систему со смарт-картой и шаблон пользователя со смарт-картой версии 1 могут не обновляться с помощью автоматической подачи заявок. Для обновления входа в систему со смарт-картой или шаблона пользователя со смарт-картой версии 1 необходимо замещение этих шаблонов шаблонами версии 2.
Сбой в процессе автоматической подачи заявок
В случае возникновения сбоя в процессе выполнении автоматической подачи заявок пользователь увидит предупреждающее диалоговое окно. Это произойдет только в том случае, если в шаблоне сертификата будет содержаться требование интерактивного взаимодействия с пользователем.
Для разрешения появления предупреждающего сообщения при возникновении ошибки во время выполнения автоматической подачи заявки:
| 1. | Откройте соответствующий шаблон на оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC. |
| 2. | Выберите вкладку Обработка запроса (Request Handling). |
| 3. | Установите флажок Для автоматической подачи требуется ввод пользователя (Require user input for autoenrollment), как показано ниже на Рисунке 21.
Рисунок 21 - Включение функции предупреждения при сбое во время выполнения автоматической подачи заявки |
Повторная инициализация смарт-карт
Если процесс подачи заявки на сертификат основывается на существующем сертификате смарт-карты, и если была выполнена повторная инициализация смарт-карты, появится диалоговое окно, которое предложит пользователю вставить карту, соответствующую контейнеру ключа, определенного старым сертификатом. Поскольку контейнер ключа был удален, диалоговое окно не исчезнет, несмотря на то, что пользователь вынул и снова вставил карточку. Единственное, что можно сделать в этом случае – нажать кнопку Отмена (Сancel), что приведет к неудачному завершению подачи заявки.
Расширенная регистрация событий
По умолчанию процесс автоматической подачи заявки ведет запись всех ошибок/сбоев и успешно выполненных подач заявок, произошедших на клиентском компьютере, в журнале событий приложений.
Для включения расширенной регистрации событий процесса автоматической подачи заявки, необходимо создать следующие значения в системном реестре:
В случае автоматической подачи заявки пользователем
В разделе: HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment создайте новый параметр DWORD с названием “AEEventLogLevel" и установите его значение в 0.
В случае автоматической подачи заявки компьютером
В разделе: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment создайте новый параметр DWORD с названием "AEEventLogLevel" и установите его значение в 0.
Примечание. Все сбои и ошибки регистрируются автоматически. Для регистрации ошибок не нужно изменять значение ключа реестра.
Сообщения журнала событий
Сообщения, приведенные ниже, появляются только при включении расширенной регистрации событий.
Сообщения журнала событий при успешной работе
Ниже приведены сообщения журнала событий, указывающие на отсутствие проблем.
| Event Type: Тип события: | Information Информация |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 2 |
| Date: Дата: | 2/26/2001 |
| Time: Время: | 12:52:02 PM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | COMPUTER1 |
Описание: Автоматическая подача заявки для локального компьютера начата.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.
| Event Type: Тип события: | Information Информация |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 3 |
| Date: Дата: | 2/26/2001 |
| Time: Время: | 12:52:10 PM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | COMPUTER1 |
Описание: Автоматическая подача заявки для локального компьютера завершена.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.
| Event Type: Тип события: | Information Информация |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 27 |
| Date: Дата: | 2/26/2001 |
| Time: Время: | 3:26:03 PM |
| User: Пользователь: | NTDEV\dcross |
| Computer: Компьютер: | COMPUTER1 |
Описание: Автоматическая подача заявок на сертификат для вошедшего в систему пользователя была отменена.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.
| Event Type: Тип события: | None Нет |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 28 |
| Date: Дата: | 6/25/2001 |
| Time: Время: | 7:36:16 AM |
| User: Пользователь: | HAYBUV\USER1 |
| Computer: Компьютер: | COMPUTER1 |
Описание: Автоматическая подача заявки на сертификат HAYBUV\User1: успешно установлен сертификат AutoEnrollSmart cardEmail при извлечении отложенных запросов. Потребовалось взаимодействие с пользователем.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
| Event Type: Тип события: | None Нет |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 29 |
| Date: Дата: | 7/9/2001 |
| Time: Время: | 6:39:29 AM |
| User: Пользователь: | HAYBUV\USER1 |
| Computer: Компьютер: | COMPUTER1 |
Описание: Автоматическая подача заявки на сертификат HAYBUV\USER1: закрытый ключ был использован повторно при запросе одного сертификата AutoEnrollSmart cardUser.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
| Event Type: Тип события: | None Нет |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 20 |
| Date: Дата: | 7/9/2001 |
| Time: Время: | 6:39:29 AM |
| User: Пользователь: | HAYBUV\USER1 |
| Computer: Компьютер: | COMPUTER1 |
Описание: Автоматическая подача заявки на сертификат HAYBUV\USER1: успешно обновлен один сертификат AutoEnrollSmart cardUser из центра сертификации TestCA на Sevrer1.haybuv.com.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
| Event Type: Тип события: | None Нет |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 29 |
| Date: Дата: | 7/17/2001 |
| Time: Время: | 9:37:29 AM |
| User: Пользователь: | HAYBUV\user1 |
| Computer: Компьютер: | TESTCA |
Описание: Автоматическая подача заявки на сертификат HAYBUV\user1: закрытый ключ был использован повторно при запросе одного сертификата Autoenroll Smart card User
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
Примечание. Эта запись означает, что закрытый ключ был использован во время обновления сертификата.
Сообщения журнала событий об ошибках
Ниже приведены сообщения журнала событий, указывающие на возникшие проблемы.
| Event Type: Тип события: | Error Ошибка |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 15 |
| Date: Дата: | 7/8/2001 |
| Time: Время: | 3:09:41 PM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | TEST1 |
Описание: Автоматическая подача заявки на сертификат Haybuv\User1 не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключится. Подача заявки выполнена не будет.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
Примечание. Такая ошибка чаще всего возникает в том случае, когда пользователь входит в систему с кэшированными учетными данными на компьютере, не подключенному к сети. Поэтому автоматическая подача заявки не может продолжаться и будет выполнена позже.
| Event Type: Тип события: | Error Ошибка |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 15 |
| Date: Дата: | 2/24/2001 |
| Time: Время: | 10:36:08 AM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | TEST1 |
Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось связаться с сервером каталога (0x80072751). Сделана попытка выполнить операцию на сокете для недоступного хоста. Подача заявки выполнена не будет.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.
Примечание. Эта ошибка чаще всего возникает в том случае, когда контроллер домена невозможно обнаружить или он недоступен для клиента. Наиболее вероятные причины этого: ошибки в работе сети, сбой сетевого подключения и т.д.
| Event Type: Тип события: | Error Ошибка |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 13 |
| Date: Дата: | 7/5/2001 |
| Time: Время: | 9:37:44 AM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | TEST1 |
Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось подать заявку на один сертификат HAYBUV IPSEC (0x800706ba). Сервер RPC недоступен.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
Примечание. Эта ошибка чаще всего возникает, когда центр сертификации недоступен в сети или служба остановлена.
| Event Type: Тип события: | Error Ошибка |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 13 |
| Date: Дата: | 7/5/2001 |
| Time: Время: | 7:41:27 AM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | TEST1 |
Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось подать заявку на один сертификат HAYBUV IPSEC (0x8009400f). Была сделана попытка открыть сеанс работы с базой данных центра сертификации, но с ней работало уже слишком много сеансов. Возможно, следует увеличить максимальное число сеансов одновременной работы с сервером.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
Примечание. Такое событие встречается очень редко при сильной загруженности центра сертификации, когда он не может ответить. Позже будет выполнена повторная попытка автоматической подачи заявки.
| Event Type: Тип события: | Error Ошибка |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 16 |
| Date: Дата: | 7/5/2001 |
| Time: Время: | 2:53:34 AM |
| User: Пользователь: | N/A |
| Computer: Компьютер: | TEST1 |
Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось обновить один сертификат HAYBUV IPSEC (0x8009400f). Была сделана попытка открыть сеанс работы с базой данных центра сертификации, но с ней работало уже слишком много сеансов. Возможно, следует увеличить максимальное число сеансов одновременной работы с сервером.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
Примечание. Эта ошибка аналогична предыдущей, но относится к обновлению.
| Event Type: Тип события: | Warning Предупреждение |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявки |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 7 |
| Date: Дата: | 7/24/2001 |
| Time: Время: | 7:48:27 PM |
| User: Пользователь: | HAYBUV\USER1 |
| Computer: Компьютер: | TEST1 |
Описание: Автоматическая подача заявки на сертификат HAYBUV\USER1: не удается выполнить подачу заявки на шаблон сертификата Агента восстановления ключей (Key Recovery Agent) по одной из следующих причин:
| • | К данному шаблону нет доступа для подачи заявки. |
| • | Тема или подпись, указанные в шаблоне, являются недопустимыми либо не выполняется требование к оборудованию. |
| • | Не удается найти центр сертификации, который может выдать этот шаблон. |
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.
Примечание. Данная ошибка автоматической подачи заявки возникает тогда, когда у пользователя установленны сертификат и закрытый ключ, соответствующие шаблону, срок действия которого в данный момент истекает. Автоматическая подача заявки на сертификат пытается автоматически обновить сертификат, однако у пользователя нет соответствующих разрешений для использования этого шаблона, и таким образом не удается выполнить автоматическую подачу заявки. Автоматическая подача заявки использует как сертификаты в хранилище, так и настройки шаблонов сертификатов.
| Event Type: Тип события: | Error Ошибка |
| Event Source: Источник события: | AutoEnrollment Автоматическая подача заявок |
| Event Category: Категория события: | None Нет |
| Event ID: ID события: | 13 |
| Date: Дата: | 7/17/2001 |
| Time: Время: | 9:22:10 AM |
| User: Пользователь: | HAYBUV\user1 |
| Computer: Компьютер: | TESTCA |
Описание: Автоматическая подача заявки на сертификат HAYBUV\user1: не удается выполнить подачу заявки на один сертификат Autoenroll smart card user (0x80094812). Имя электронной почты недоступно и его невозможно добавить в имя субъекта или в дополнительное имя субъекта.
Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.
Примечание. Данная ошибка возникает тогда, когда в учетной записи пользователя в Active Directory неверно указан адрес электронной почты (на странице свойств пользователя в оснастке Active Directory - пользователи и компьютеры (Active Directory Users and Computers) консоли MMC). Для выполнения подачи заявки на шаблоны сертификатов в Active Directory необходим существующий адрес электронной почты.
Средства анализа журнала событий
В ОС Windows XP включено новое средство (сценарий) анализа событий локального компьютера. Этот сценарий можно использовать для определения ошибок автоматической подачи заявки клиента и выполнения соответствующих действий. Справочная информация по этому средству, доступная из командной строки, представлена ниже:
Z:\>eventquery /?
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
----------------------------------------------------------------------
EVENTQUERY.vbs [/S system [/U username [/P password]]] [/FI filter]
[/FO format] [/R range] [/NH] [/V] [/L logname | *]
Description:
The EVENTQUERY.vbs script enables an administrator to list
the events and event properties from one or more event logs.
Parameter List:
/S system Specifies the remote system to connect to.
/U [domain\]user Specifies the user context under which the
command should execute.
/P password Specifies the password for the given
user context.
/V Specifies that the detailed information
should be displayed in the output.
/FI filter Specifies the types of events to
filter in or out of the query.
/FO format Specifies the format in which the output
is to be displayed.
Valid formats are "TABLE", "LIST", "CSV".
/R range Specifies the range of events to list.
Valid Values are:
'N' - Lists 'N' most recent events.
'-N' - Lists 'N' oldest events.
'N1-N2' - Lists the events N1 to N2.
/NH Specifies that the "Column Header" should
not be displayed in the output.
Valid only for "TABLE" and "CSV" formats.
/L logname Specifies the log(s) to query.
/? Displays this help/usage. Valid Filters Operators allowed Valid Values
------------- ------------------ ------------
DATETIME eq,ne,ge,le,gt,lt mm/dd/yy(yyyy),hh:mm:ssAM(/PM)
TYPE eq,ne ERROR, INFORMATION, WARNING,
SUCCESSAUDIT, FAILUREAUDIT
ID eq,ne,ge,le,gt,lt non-negative integer
USER eq,ne string
COMPUTER eq,ne string
SOURCE eq,ne string
CATEGORY eq,ne string
NOTE: Filter "DATETIME" can be specified as "FromDate-ToDate"
Only "eq" operator can be used for this format.
Examples:
EVENTQUERY.vbs
EVENTQUERY.vbs /L system
EVENTQUERY.vbs /S system /U user /P password /V /L *
EVENTQUERY.vbs /R 10 /L Application /NH
EVENTQUERY.vbs /R -10 /FO LIST /L Security
EVENTQUERY.vbs /R 5-10 /L "DNS Server"
EVENTQUERY.vbs /FI "Type eq Error" /L Application
EVENTQUERY.vbs /L Application /FI "Datetime eq 06/25/00,03:15:00AM-06/25/00,03:15:00PM"
EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM" /FI "Id gt 700" /FI "Type eq warning" /L System
EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000 "
Заключение
ОС Windows XP обеспечивает автоматическую подачу заявки на сертификат пользователя, что позволяет администраторам легко осуществлять внедрение сертификатов по всему предприятию, не прибегая к взаимодействию с пользователями. Автоматическая подача заявки на сертификат пользователя в ОС Windows XP Professional использует репутацию Microsoft, как поставщика устойчивых компонентов инфраструктуры открытых ключей (PKI), обеспечивающих низкую совокупную стоимость владения. С того момента, как инфраструктура открытых ключей стала неотъемлемой частью ОС Windows XP Professional, она обеспечивает ряд уникальных преимуществ над компонентами надстроек сторонних производителей. Преимущества включают в себя:
| • | Отсутствие платы за лицензию для каждого пользователя или сертификата |
| • | Централизованное управление безопасностью пользователя |
| • | Интеграцию с обычными задачами управления предприятием |
| • | Возможности единой регистрации в сетях и приложениях |
| • | Возможности доверительного управления |
| • | Поддержка всех приложений через CryptoAPI |
Помните, что PKI почти всех сторонних производителей необходимо приобретать отдельно, а ее использование требует покупки лицензии для каждого сертификата и усложняет задачи управления.
В целом, функции автоматической подачи заявки на сертификаты в ОС Windows XP обеспечивают организациям и предприятиям возможность простого развертывания цифровых сертификатов и использующих PKI приложений, не тратя дополнительные средства и укладываясь в обычный бюджет, выделяемый на организацию ИТ-инфраструктуры.
Связанные ресурсы
Для получения дополнительной информации обратитесь к следующим источникам:
| • | Новые возможности безопасности в ОС Windows XP Professional и ОС Windows XP Home Edition What's New in Security for Windows XP Professional and Windows XP Home Edition (EN) |
| • | Обзор ОС Windows XP и ОС Windows Server 2003 |
| • | CMC (Certificate Management Messages поверх CMS) |
| • | Защита и восстановление данных в ОС Windows XP |
| • | Обеспечение безопасности переносных компьютеров с установленной ОС Windows XP Professional |
| • | Расширения инфраструктуры открытых ключей (PKI) в ОС Windows XP Professional и Windows Server 2003 PKI Enhancements in Windows XP Professional and Windows Server 2003 (EN) |
| • | Для получения самой последней информации об ОС Windows XP, посетите узел Windows XP (EN) |
| • | Для получения самой последней информации об ОС Windows Server 2003, посетите узел Windows Server 2003 (EN) |