Установка Certification Authority - Техноблог IT - сайт про комп’ютери та техніку

Сьогодні розглянемо як розгорнути центр сертифікації windows, і поговоримо для чого він потрібний. Власний центр сертифікації необхідний створення власної інфраструктури PKI – Public Key Infrastructure, тобто інфраструктури відкритих ключів. Якщо говорити двома словами, то працює ця система так:

ми створюємо центр сертифікації, і поширюємо кореневий сертифікат цього центру між нашими користувачами, встановлюємо його довірені кореневі центри сертифікації. Це означає, що тим сертифікатам, які видасть цей центр, всі комп'ютери, де він встановлений, будуть довіряти.

Тобто Ви підключаєтеся до якогось сайту по 443 порту (SSL), сайт показує Вашому комп'ютеру сертифікат, і якщо він підписаний не довіреним центром сертифікації, то браузер покаже попередження, і покладе рішення на Ваші плечі, чи довіряти цьому сертифікату чи ні. Якщо Ви погодитеся продовжувати, відбудеться наступне:

Клієнт та сервер узгоджують алгоритм шифрування, сервер надсилає клієнту свій сертифікат, підписаний ЦС, та відкритий ключ. Клієнт перевірять валідність сертифіката, імені сервера, яке вписано в сертифікат, і надсилає серверу випадковий ключ, зашифрований відкритим ключем сервера. Сервер розшифровує його закритим ключем, і встановлює з'єднання використовуючи той самий випадковий ключ.

Також можна сказати серверу, щоб він запитував сертифікат у клієнта, для його аутентифікації.

Сертифікати бувають: Самопідписані (self-signed) – сервер сам випускає сертифікат, він ні ким не засвідчується, тому йому за промовчанням не довірятимуть.

Wildcard сертифікати можна видавати на область імен – наприклад *.domaim.ru діятиме на всі піддомени.

Дляустановки сервера CA встановлюємо такі ролі:

сайт

Виберемо сам центр сертифкації, і веб-інтерфейс:

authority

Enterprise – встановлення центру в існуючий домен:

комп

Зробимо наш сервер кореневим:

техноблог

Згенеруємо новий приватний ключ:

комп

Увага! Я під час встановлення вибрав алгоритм підпису sha1. Даний алгоритм застарів, і браузер хром лається при заході на сайт.

certification

Тому при встановленні вибирайте мінімум sha256. Якщо ж Ви вже встановили CA з алгоритмом sha1, його можна змінити через командний рядок:

certutil -setreg ca\csp\CNGHashAlgorithm SHA256 net stop certsvc net start certsvc

authority

Вибираємо ім'я нашого центру сертифікації:

authority

Тут можна виставити час дії кореневого сертифіката:

authority

authority

Додаткові сервіси – залишимо за замовчуванням:

комп

комп

За посиланням Download a CA сертифікат можна завантажити кореневий сертифікат ЦС.

Тепер на серверах ми зможемо генерувати запити на сертифікати, та підписувати їх у нашому свіжовстановленому центрі сертифікації. Для цього потрібно згенерувати запит на сертифікат з розширенням req, відкрити його блокнотом та скопіювати запит у поле, яке знаходиться в веб-інтерфейсі, під посиланням Request a certificat. Центр сертифікації має шаблони, за якими він зможе випускати сертифікати під різні завдання.