Differences

This shows you the differences between two versions of the page.

--- работа_с_сертификатами [2022/05/06 09:30] – jp
+++ работа_с_сертификатами [2022/10/27 13:13] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Работа с сертификатами =====
-=== Конвертация файла PFX (сертификат+ключ в формат, подходящий для Apache) ===
-<code>
-sudo openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer
-sudo openssl pkcs12 -in domain.pfx -nocerts -nodes  -out domain.key
-</code>
-=== Издание сертификатов SQL средствами центра сертификации ===
-Издание сертификата через центр сертификации Windows:
-. Запрашиваем сертификат на SQL сервере через оснастку сертификатов на SQL-сервере. Подойдет шаблон "веб-сервер", или другой с Server Authentication (важно, чтобы в шаблоне была сделана пометка о возможности экспорта закрытого ключа).
-. После получения сертификата - экспортируем его в PFX (не отмечаем экспорт всей цепочки и расширенных свойств).
-. Конвертируем PFX в два файла (cer и pvk) при помощи конвертера от MS (''PVKConverter''):
-        Пример команды:
-<code>
-c:\Program Files\Microsoft\PVKConverter>PVKConverter.exe -i sql04.pfx -o sql04.cer -d 111 -e 111
-</code>
-. Импортируем сертификат на сервер, где им шифруем, и еще на сервер, где собираемся расшифровывать SQL-запросом:
-<code>
-CREATE CERTIFICATE sql04
-FROM FILE = 'c:\cert\sql04.cer'
-WITH PRIVATE KEY (FILE = 'c:\cert\sql04.pvk',
-DECRYPTION BY PASSWORD = '111')'';
-</code>
-Также, на сервере должен быть создан главный ключ базы данных (MASTERKEY), который шифрует остальные закрытые ключи. Он создается запросом:
-<code>
-CREATE MASTER KEY
-ENCRYPTION BY PASSWORD = 'your _password';
-</code>
-=== Создание кастомного шаблона сертификата и публикация в веб-службах сертификации Windows ===
-. На сервере, где установлен центр сертификации открываем оснастку mmc "Шаблоны сертификатов".
-. Создаем новый шаблон на основе какого-то подходящего существующего шаблона. Например, "компьютер".
-. Выставляем нужные свойства шаблона - срок сертификации, длину ключа, возможность экспортировать закрытый ключ и пр.
-. В безопасности выставляем права на read, write, enroll для пользователя, который будет выпускать сертификаты через веб-службы (к примеру, для администраторов домена).
-{{::cert_sec.jpg?400|}}
-. Во вкладке "имя субъекта" меняем "строится на основе данных Active Directory" на "Предоставляется в запросе".
-{{::cert_sn.jpg?400|}}
-. Сохраняем созданный шаблон.
-. В оснастке mmc "Центр сертификации" в разделе "Шаблоны сертификатов" создаем новый щаблон сертификатов на основе только что созданного.
-. На всякий случай перезапускаем службу центра сертификации и IIS:
-<code>
-Restart-Service -Name CertSvc
-Restart-Service -Name W3SVC
-</code>
-. Заходим в веб-службы (http://dc01/certsrv/) делаем "расширенный запрос сертификата". Новый шаблон должен появиться в списке.
-=== Генерация и установка сертификата для служб RDP (Windows 2008 R2, без брокера подключений) ===
-. Для RDP нужно создать кастомный шаблон на основе шаблона "компьютер".
-. В этом кастомном шаблоне на вкладке "расширения" нужно изменить опцию "политики применения". Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем "Remote Desktop Authentication" и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.
-{{::cert_rdp2.jpg?400|}}
-. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела "личное".
-. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле "Служба DNS". В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке "Общие" вводим понятное имя сертификата.
-{{::cert_req.jpg?400|}}
-. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке "личное" учетной записи компьютера.
-. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку "личное" учетной записи компьютера.
-. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.
-{{::cert_inst_rdp.jpg?400|}}
-=== Генерация и установка сертификата для RD connection-broker фермы терминальных серверов (Windows Server 2019) ===
-. В центре сертификации, в оснастке "шаблоны сертификатов" - создать копию шаблона "Компьютер".
-''Примечание: из старого шаблона, созданного ещё давно для Windows 2008 R2, с указанием в политиках применения Remote Desktop Authentication - установка не прошла с ошибкой о том, что сертификат не соответствует необходимым требованиям, поэтому лучше создать новый шаблон даже, если уже есть созданный''.
-. На вкладке "Совместимость" созданного щаблона - установить нужный уровень совместимости и на вкладке "Общие" - срок действия.
-. На вкладке "Обработка запроса" - отметить опцию "Расширить экспортировать закрытый ключ".
-. На вкладке "Безопасность" - установить права на чтение и заявку для группы "Контроллеры домена".
-. На вкладке "Расширения" в кнопке "Политики применения" оставить только "Проверка подлинности сервера".
-. На вкладке "Имя субъекта" в случае, если мы хотим самостоятельно отправлять его в запросе - отметить "Предоставляется в запросе". ВАЖНО: если оставить значение по умолчанию, или указать строить имя субъекта на основании данных Active Directory, с указанием DNS-имени, то настройщик сертификатов RD Connection Broker напишет об успехе импорта, но сам сертификат не применит.
-. В оснастке управления центром сертификации создать выдаваемый шаблон сертификатов на основе созданного ранее шаблона.
-. На одном из терминальных серверов из оснастки сертификатов - сделать запрос на выдачу сертификата по созданному шаблону. В запросе указать нужные данные и что самое важное - все имена, к которым будут подключаться клиенты терминальных серверов, включая отдельные сервера и имя фермы, как показано на скриншоте:
-{{::cert_request_termfarm2019.jpg?400|}}
-. После выдачи сертификата необходимо экспортировать его с закрытым ключом. При экспорте, на всякий случай, убираем опцию "Включить конфиденциальность сертификата".
-. Открываем оснастку управления RDP из диспетчера серверов на одном из серверов фермы, нажимаем "изменить свойства развёртвывания", переходим к пункту "сертификаты" и добавляем выгруженный сертификат. Ошибок быть не должно:
-{{::cert_ok_termfarm2019.jpg?400|}}
-=== Установка приватного ключа для перегенерированного сертификата, который пришел без приватного ключа ===
-В некоторых случаях может понадобиться назначить сертификату уже существующий приватный ключ (в другом сертификате). Такая необходимость может возникнуть, к примеру, если мы создали CSR, получили по нему сертификат, а потом сертификат пришлось перегенерировать из-за какой-нибудь ошибки без пересоздания CSR. В таком случае от УЦ мы получим сертификат без приватного ключа, для которого подходит уже созданный нами ранее приватный ключ. Чтобы назначить приватный ключ нужно:
-. Импортировать новый полученный сертификат (для Exchange в личное хранилище учетной записи компьютера. При импорте сертификата в Exchange без приватного ключа сертификат не отобразится в консоли Exchange.
-. Выполнить команду для отпечатка нужного сертификата:
-<code>
-certutil -repairstore my "‎‎00 86 6f 32 37 aa ad 96 60 68 4b da cd 51 00 dd df"
-</code>
-. Если все сделано верно и приватный ключ подходит к сертификату - в хранилище отобразится сертификат с приватным ключом и также этот сертификат появится в консоли Exchange.
-=== Сертификаты СБИС и ФСС ===
-Для сертификатов СБИС и ФСС на терминальном сервере установлен криптопровайдер VIPNET CSP.
-Папка с сертификатом должна быть добавлена в настройках VIPNET и сертификат должен открываться.
-Для ФСС нужно установить этот сертификат в личное хранилище пользователя для того, чтобы он стал виден в 1С. Сделать это нужно из VIPNET.