Общая информация

Настоящая инструкция описывает процесс добавления шаблона сертификата ECDH в Центр сертификации и выписку сертификата с использованием этого шаблона.

Программные требования

• ОС Windows 2022 Server Rus;
• аккаунт с правами администратора системы;
• установленные драйверы Рутокен;
• установленные и настроенные службы сертификации Active Directory;
• сертификаты администратора, агента регистрации и проверки подлинности контроллера, выписанные в консоли MMC.

Добавление шаблона в Центр сертификации

1. Откройте Панель управления.
2. Щелкните два раза по пункту Администрирование.
3. Щелкните два раза по пункту Центр сертификации.
   Image Modified
4. Щелкните правой кнопкой мыши по папке Шаблоны сертификатов и выберите пункт Управление.
   
   
5. Щелкните правой кнопкой мыши по шаблону Пользователь со смарт-картой и выберите пункт Скопировать шаблон.
   Откроется окно Свойства нового шаблона.
   
   

   
   

6. Выберите следующие настройки:

   • Общие:

     • Отображаемое имя шаблона: Пользователь с Рутокен ECDH;

     • Имя шаблона: ПользовательсРутокенECDH.

   • Обработка запроса:

     • Цель подписи: Подпись и шифрование.

   • Шифрование:

     • Категория поставщика: Поставщик хранилища ключей;
       
     • Имя алгоритма: ECDH_P256;

     • Минимальный размер ключа: не менее 256;

     • В запросах могут использоваться только следующие поставщики: Microsoft Smart Card Key Storage Provider;
       

     • Хэш запроса: SHA1.

   • Безопасность: 

     • Разрешения для группы Прошедшие проверку: Чтение, Заявка, Автоматическая подача заявок.

   • Требования выдачи:

     • Указанного числа авторизованных подписей: 1;

     • В подписи требуется указать тип политики: Политика применения;

     • Политика применения: Агент запроса сертификата.

   Остальные настройки оставьте по умолчанию. 

7. Нажмите ОК.
8. Перейдите в окно Центр сертификации.
9. Щелкните правой кнопкой мыши по папке Шаблоны сертификатов и выберите пункт Создать→Выдаваемый шаблон сертификатов.
   Image Modified
10. В окне Включение шаблонов сертификатов щелкните по шаблону Агент регистрации.
11. Зажмите клавишу Ctrl на клавиатуре и щелкните левой кнопкой мыши по шаблону Пользователь с Рутокен ECDH.
    
12. Нажмите ОК и закройте окно.
    

Выписка сертификата пользователя

1. Запустите сохраненный на предыдущем этапе процесса файл с параметрами консоли.
2. В левой части окнаконсолираскройте папку Сертификаты - текущий пользователь → Личное.
3. Правой кнопкой мыши щелкните по папке Сертификаты и выберите пункт Все задачи → Дополнительные операции → Зарегистрироваться от имени.
   
   
4. В окне Перед началом работы ознакомьтесь с информацией и нажмите Далее.
5. В окне Выбор политики регистрации сертификатов нажмите Далее.
6. В окне Выберите сертификат агента регистрации нажмите Обзор.
   
7. Выберите сертификат типа Агент регистрации и нажмите ОК.
   

   Tip
   Чтобы определить тип сертификата, откройте его свойства.

8. В окне Выберите сертификат агента регистрации нажмите Далее.
9. Установите переключатель в положение Пользователь с Рутокен ECDHи нажмите Далее.
   Image Modified
   
10. В окнеВыберите пользователянажмите Обзор.
    
11. В поле Введите имена выбираемых объектов введите имя пользователя, которому будет выписан сертификат типа Пользователь Rutoken.
12. Нажмите Проверить имена.
    Image Modified
    
13. Нажмите ОК. Поле Имя пользователя или псевдоним заполнится автоматически.
    Image Modified
    
14. Нажмите Заявка. Откроется окно подтверждения операции.
    
15. Введите PIN-код Пользователя и нажмите ОК.
    
    
16. Нажмите Закрыть. В результате сертификат типа Пользователь с Рутокен ECDHбудет выписан и сохранен на токене.
    

    Tip
    После сохранения сертификата проверьте, верно ли были указаны все данные. Для этого нажмите Просмотреть сертификат.

Настройка групповых политик

Чтобы использовать ECDH-ключи для работы в приложениях и для двухфакторной аутентификации пользователя, необходимо изменить групповые политики:

1. Откройте Панель управления.
2. Щелкните два раза по пункту Администрирование.
3. Щелкните два раза по пункту Управление групповой политикой.
   
   
4. В левой части окна раскройте Управление групповой политикой → Лес: <название леса> → Домены → <название домена> → Объекты групповой политики → Default Domain Policy.
5. Щелкните правой кнопкой мыши по Default Domain Policy и выберите пункт Изменить.
   Image Modified
6. В левой части окна раскройте Конфигурация компьютера → Политики → Административные шаблоны и выберите Компоненты Windows.
7. В правой части окна два раза щелкните левой кнопкой мыши по компоненту Смарт-карта.
   
8. В разделе Смарт-карта нажмите правой кнопкой мыши по политике Разрешить использование сертификатов ECC для входа и проверки подлинности.
   
9. В окне настройки политики переключите параметр на Включено. Нажмите Применить и ОК.
   Image Modified
10. Повторите шаги 8-9 для политики Включить распространение сертификатов со смарт-карты.
    
11. Перезагрузите сервер, чтобы применить групповые политики.