Генерация пары сертификатов ЭП на автономном удостоверяющем центре Windows Server.
Как узнать, что это Ваш случай?
Если в службах сертификации, например http://localhost/certsrv/ на сервере > Запрос сертификата > Расширенный запрос сертификата Вы видите это:
Поздравляю! Это Ваш случай. Если пробовали сгенерировать в нем сертификаты ЭП, то понимаете, о чем речь.
Огромное количество материала в интернете рекомендуют переустанавливать УЦ на Enterprise. Служба поддержки ДИРЕКТУМ здесь тоже не помощник, т.к. не профиль. Если Вам вариант переустановки, как и нам, неприемлем, я думаю, что сэкономлю Вам массу времени на поиск того, как же с помощью него получить заветные сертификаты.
Что потребуется?
1. RequestConfig.inf
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=Иванов Иван Иванович"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.2
2. CreateReqFile.bat
CertReq -New -f D:\RequestConfig.inf D:\Request.req
3. Submit.bat
certreq -submit D:\Request.req D:\Certificat.cer
4. Accept.bat
certreq.exe -accept Certificat.cer
Как это использовать?
1. Размещаем все файлы в одной директории. Во втором и третьем правим пути до текущей директории.
2. В inf файле правим строку Subject на требуемое ФИО.
Этого достаточно для персонализации сертификатов. Если погуглить, можно в этой строке добавить, например, подразделение, город, ...
3. Выполняем CreateReqFile.bat.
В текущей директории появится файл Request.req.
4. Выполняем Submit.bat.
Если появляется диалоговое окно, отвечаем ОК.
В текущей директории появится файл Certificat.cer (сертификат открытого ключа).
5. Выполняем Accept.bat.
6. Открываем утилиту Сертификаты.
а. Переходим в Сертификаты (локальный компьютер) > Личное > Реестр > Сертификаты.
б. Справа находим строку с указанным в inf файле ФИО. Открываем. Откроется окно "Сертификат".
в. На закладке "Состав" нажимаем кнопку "Копировать в файл...". Откроется "Мастер экспорт сертификатов".
г. Далее. Выбор "Да, экспортировать закрытый ключ". Далее. Далее. Указываете пароль (любой, потребуется при установке сертификата на компьютере пользователя). Далее. Выбираете куда сохранить и имя файла. Далее. Готово.
Вуаля. У Вас оба сертификата для нового пользователя, и открытый, и закрытый. Дальше Вы уже знаете как их применить.
5. Открываем утилиту Сертификаты.
По описанию это — оснастка "Сертификаты" из состава СКЗИ Крипто Про. Правильно ли я понимаю, что привязки к конкретной СКЗИ нет, и тут вполне может быть оснастка "Сертификаты (локальный компьютер)" консоли управления Windows? Или требуется именно Крипто Про?
Правильно, привязки к СКЗИ нет, оснастка Сертификаты применяется из консоли управления (MMC) MS Windows Server.
certreq - крайне капризная утилита. Если есть домен да еще и не один, с различными разграничениями прав, настроить так чтоб она заработала дело не тривиальное. Очень часто не взлетает и "Служба поддержки ДИРЕКТУМ здесь тоже не помощник, т.к. не профиль. "
Авторизуйтесь, чтобы написать комментарий