J3qx

information archive

Установка Windows enterprise root CA

Posted by j3qx на Октябрь 16, 2016

Установка Windows enterprise root CA

Требования к CA

  • Длина ключа 2048
  • Hash – sha1
  • Срок действия 30 лет

Установка

Ставим Active Directory Certificate Services и Certification Authority Web Enrollment

После установки

Делаем БЕКАП корневого сертификата

После установки сразу делаем настройки CRL

Оставляем только системный путь C:\winodws\etc

Добавляем наш путь http, через alias имя сервера в FQDN

 

В AIA оставляем по дефолту

 

Если публикация на IIS резрешаем спецсимволы, иначе delta CRL (со знаком плюса) работать не будет

%windir%\system32\inetsrv\appcmd set config «Default Web Site» —section:system.webServer/security/requestfilteringallowDoubleEscaping:true

Корректируем время публикации CRL, если требуется отличия от дефолта

 

Настройка IIS для web enroll

Чтобы работал выпуск сертификатов через веб интерфейс, нужно обязательно заходить через https, как следствие делаем правильный сертификат с правильными alias и т.п.

Делаем bind сертификата на IIS

Проверяем выпуск через веб интерфес (например юзерский сертификат, по умолчанию разрешен)

AD и проверки

Делаем политику распространения корневого сертификата

Проверяем выпуск сертификатов средствами оснастки сертификаты (mmc->certificates)

Проверяем выпуск через веб интерфейс https://serverName/certsrv

Права на шаблоны

Описание выдачи права на самый популярный шаблон веб сервера

http://technet.microsoft.com/ru-ru/library/ee649249(v=ws.10).aspx

Второй момент, для шаблонов сделанных дублем с основных, есть параметр совместимости, тоже нужно учитывать

 

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: