Общая информация
Настоящая инструкция описывает процесс добавления шаблона сертификата ECDH в Центр сертификации и выписку сертификата с использованием этого шаблона.
Программные требования
- ОС Windows 2022 Server Rus;
- аккаунт с правами администратора системы;
- установленные драйверы Рутокен;
- установленные и настроенные службы сертификации Active Directory;
- сертификаты администратора, агента регистрации и проверки подлинности контроллера, выписанные в консоли MMC.
Добавление шаблона в Центр сертификации
До настройки шаблонов сертификатов, необходимо правильно установить настроить Центр сертификации.
Для настройки необходим компьютер с установленной операционной системой Windows 2022 Server Rus и Драйверами Рутокен, а также дистрибутив этой ОС. Все описанные далее действия производятся с правами администратора системы. В качестве примера используется учетная запись Administrator.
Добавление шаблонов сертификатов в Центр Сертификации
Для добавления шаблонов сертификатов:
- Откройте Панель управления.
- Щелкните два раза по пункту Администрирование.
- Щелкните два раза по пункту Центр сертификации.
- Щелкните правой кнопкой мыши по папке Шаблоны сертификатов и выберите пункт Управление.
- Щелкните правой кнопкой мыши по шаблону Пользователь со смарт-картой и выберите пункт Скопировать шаблон.
Откроется окно Свойства нового шаблона.
Выберите следующие настройки:
Общие:
Отображаемое имя шаблона: Пользователь с Рутокен ECDH;
Имя шаблона: ПользовательсРутокенECDH.
Обработка запроса:
Цель подписи:
Значение параметра Минимальный размер ключа должен быть не менее 256.
Подпись и шифрование.
Шифрование:
- Категория поставщика: Поставщик хранилища ключей;
- Имя алгоритма: ECDH_P256;
Минимальный размер ключа: не менее 256;
В запросах могут использоваться только следующие поставщики: Microsoft Smart Card Key Storage Provider;
- Хэш запроса: SHA1.
- Категория поставщика: Поставщик хранилища ключей;
Безопасность:
Разрешения для группы Прошедшие проверку: Чтение, Заявка, Автоматическая подача заявок.
Требования выдачи:
Указанного числа авторизованных подписей: 1;
В подписи требуется указать тип политики: Политика применения;
Политика применения: Агент запроса сертификата.
Остальные настройки оставьте по умолчанию.
Нажмите Применить.- Нажмите ОК.
- Перейдите в окно Центр сертификации.
- Щелкните правой кнопкой мыши по папке Шаблоны сертификатов.Выберите и выберите пункт Создать и подпункт →Выдаваемый шаблон сертификатов.
- В окне Включение шаблонов сертификатов щелкните по шаблону Агент регистрации.
- Зажмите клавишу Ctrl на клавиатуре и щелкните левой кнопкой мыши по шаблону Пользователь с Рутокен ECDH.
- Нажмите ОК и закройте окно.
Выписка сертификата
...
пользователя
| Note |
|---|
Подключите устройство Рутокен к компьютеру перед тем, как приступать к выписке сертификата. |
- Запустите сохраненный на предыдущем этапе процесса файл с параметрами консоли.
- В левой части окна Консоль1 щелкните по папке консолираскройте папку Сертификаты - текущий пользователь → Личное.
- Правой кнопкой мыши щелкните по папке Сертификаты и выберите пункт Все задачи.Выберите подпункт → Дополнительные операции.Выберите подпункт → Зарегистрироваться от имени...
- Ознакомьтесь В окне Перед началом работы ознакомьтесь с информацией и нажмите Далее.
- НажмитеВ окне Выбор политики регистрации сертификатов нажмите Далее.
- НажмитеВ окне Выберите сертификат агента регистрации нажмите Обзор.
- Щелкните по имени сертификата Выберите сертификат типа Агент регистрации (чтобы и нажмите ОК.
сертификата)Tip Чтобы определить тип сертификата, откройте его свойства
Нажмите.
- В окне Выберите сертификат агента регистрации нажмитеОК.
Нажмите Далее. - Установите переключатель в положение Пользователь с RuToken Рутокен ECDHи нажмите Далее.
- В окне Регистрация сертификатов Выберите пользователянажмите Обзор.
- В поле Введите имена выбираемых объектов введите имя пользователя, которому будет выписан сертификат типа Пользователь с RuTokenПользователь Rutoken.
- Нажмите Проверить имена.
- Нажмите ОК. Поле Имя пользователя или псевдоним заполнится автоматически.
- Нажмите Заявка.
Откроется окно подтверждения операции.
- Введите PIN-код Пользователя и нажмите ОК.
- Нажмите Закрыть.
В результате сертификат типа Пользователь с RuToken Рутокен ECDHбудет выписан и сохранен на токене.
сохранениеTip После
сохранения сертификата проверьте, верно ли были указаны все данные. Для этого нажмите Просмотреть сертификат.
Чтобы закрыть окно сертификата нажмите ОК.
Настройка Групповых политик
Настройка групповых политик
Чтобы использовать ECDH-ключи для работы в приложениях и Для работы ECDH ключей для двухфакторной аутентификации пользователя и для работы в приложениях, необходимо изменить групповые политики.Для этого необходимо:
- Откройте Панель управления.
- Щелкните два раза по пункту Администрирование.
- Щелкните два раза по пункту Управление групповой политикой.
- Выберите пункт В левой части окна раскройте Управление групповой политикой - → Лес: *вашего леса* - Домены - *ваш домен* - <название леса> → Домены → <название домена> → Объекты групповой политики - → Default Domain Policy.
- Нажмите Щелкните правой кнопкой мыши по Default Domain Policy и выберите пункт пункт Изменить.
- Перейдите в раздел: В левой части окна раскройте Конфигурация компьютера - → Политики - →Административные шаблоны - и выберите Компоненты Windows - .
- В правой части окна два раза щелкните левой кнопкой мыши по компоненту Смарт-карта.
- В разделе Смарт-карта, нажмите правой кнопкой мыши по политике "Разрешить использование сертификатов ECC для входа и проверки подлинности".
- Переключите В окне настройки политики переключите параметр на "Включено", потом нажмите "Применить" и "ОК" Включено. Нажмите Применить и ОК.
- Аналогичным образом включаем политику "Повторите шаги 8-9 для политики Включить распространение сертификатов со смарт-карты".
- После применения групповых политик, необходимо перезагрузить серверПерезагрузите сервер, чтобы применить групповые политики.