Differences

This shows you the differences between two versions of the page.

--- работа_с_сертификатами [2022/10/26 16:22] – jp
+++ работа_с_сертификатами [2022/10/27 13:13] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Работа с сертификатами =====
-=== Конвертация файла PFX (сертификат+ключ в формат, подходящий для Apache) ===
-<code>
-sudo openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer
-sudo openssl pkcs12 -in domain.pfx -nocerts -nodes  -out domain.key
-</code>
-=== Генерация и установка сертификата для служб RDP (Windows 2008 R2, без брокера подключений) ===
-. Для RDP нужно создать кастомный шаблон на основе шаблона "компьютер".\\
-. В этом кастомном шаблоне на вкладке "расширения" нужно изменить опцию "политики применения". Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем "Remote Desktop Authentication" и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.\\
-{{::cert_rdp2.jpg?400|}}
-. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела "личное".\\
-. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле "Служба DNS". В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке "Общие" вводим понятное имя сертификата.\\
-{{::cert_req.jpg?400|}}
-. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке "личное" учетной записи компьютера.\\
-. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку "личное" учетной записи компьютера.\\
-. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.\\
-{{::cert_inst_rdp.jpg?400|}}
-=== Генерация и установка сертификата для RD connection-broker фермы терминальных серверов (Windows Server 2019) ===
-. В центре сертификации, в оснастке "шаблоны сертификатов" - создать копию шаблона "Компьютер".\\
-''Примечание: из старого шаблона, созданного ещё давно для Windows 2008 R2, с указанием в политиках применения Remote Desktop Authentication - установка не прошла с ошибкой о том, что сертификат не соответствует необходимым требованиям, поэтому лучше создать новый шаблон даже, если уже есть созданный''.
-. На вкладке "Совместимость" созданного щаблона - установить нужный уровень совместимости и на вкладке "Общие" - срок действия.\\
-. На вкладке "Обработка запроса" - отметить опцию "Расширить экспортировать закрытый ключ".\\
-. На вкладке "Безопасность" - установить права на чтение и заявку для группы "Контроллеры домена".\\
-. На вкладке "Расширения" в кнопке "Политики применения" оставить только "Проверка подлинности сервера".\\
-. На вкладке "Имя субъекта" в случае, если мы хотим самостоятельно отправлять его в запросе - отметить "Предоставляется в запросе". ВАЖНО: если оставить значение по умолчанию, или указать строить имя субъекта на основании данных Active Directory, с указанием DNS-имени, то настройщик сертификатов RD Connection Broker напишет об успехе импорта, но сам сертификат не применит.\\
-. В оснастке управления центром сертификации создать выдаваемый шаблон сертификатов на основе созданного ранее шаблона.\\
-. На одном из терминальных серверов из оснастки сертификатов - сделать запрос на выдачу сертификата по созданному шаблону. В запросе указать нужные данные и что самое важное - все имена, к которым будут подключаться клиенты терминальных серверов, включая отдельные сервера и имя фермы, как показано на скриншоте:\\
-{{::cert_request_termfarm2019.jpg?400|}}
-. После выдачи сертификата необходимо экспортировать его с закрытым ключом. При экспорте, на всякий случай, убираем опцию "Включить конфиденциальность сертификата".\\
-. Открываем оснастку управления RDP из диспетчера серверов на одном из серверов фермы, нажимаем "изменить свойства развёртвывания", переходим к пункту "сертификаты" и добавляем выгруженный сертификат. Ошибок быть не должно:\\
-{{::cert_ok_termfarm2019.jpg?400|}}
-=== Установка приватного ключа для перегенерированного сертификата, который пришел без приватного ключа ===
-В некоторых случаях может понадобиться назначить сертификату уже существующий приватный ключ (в другом сертификате). Такая необходимость может возникнуть, к примеру, если мы создали CSR, получили по нему сертификат, а потом сертификат пришлось перегенерировать из-за какой-нибудь ошибки без пересоздания CSR. В таком случае от УЦ мы получим сертификат без приватного ключа, для которого подходит уже созданный нами ранее приватный ключ. Чтобы назначить приватный ключ нужно:
-. Импортировать новый полученный сертификат (для Exchange в личное хранилище учетной записи компьютера. При импорте сертификата в Exchange без приватного ключа сертификат не отобразится в консоли Exchange.\\
-. Выполнить команду для отпечатка нужного сертификата:\\
-<code>
-certutil -repairstore my "‎‎00 86 6f 32 37 aa ad 96 60 68 4b da cd 51 00 dd df"
-</code>
-. Если все сделано верно и приватный ключ подходит к сертификату - в хранилище отобразится сертификат с приватным ключом и также этот сертификат появится в консоли Exchange.\\
-=== Сертификаты СБИС и ФСС ===
-Для сертификатов СБИС и ФСС на терминальном сервере установлен криптопровайдер VIPNET CSP.
-Папка с сертификатом должна быть добавлена в настройках VIPNET и сертификат должен открываться.
-Для ФСС нужно установить этот сертификат в личное хранилище пользователя для того, чтобы он стал виден в 1С. Сделать это нужно из VIPNET.
-{{tag>Certificates Apache IIS Windows WindowsServer PKI Exchange SSL ADCS}}