Лекция: Этап 4. Создание конфигурации отзыва
Конфигурация отзыва включает все настройки, необходимые для ответа на запросы о состоянии сертификатов, выпущенных с помощью определенного ключа центра сертификации.
Эти настройки конфигурации включают сертификат центра сертификации, сертификат подписи сетевого ответчика, а также расположения, в которые клиенты должны направлять свои запросы о состоянии.
Внимание!
Прежде чем создавать конфигурацию отзыва, убедитесь в том, что заявка на сертификат выполнена, чтобы сертификат подписи существовал на компьютере, и настройте разрешения сертификата подписи, чтобы разрешить сетевому ответчику использовать его.
Проверка правильности настройки сертификата подписи
| 1. Запустите или перезапустите компьютер LH_PKI1, чтобы подать заявку на сертификаты. 2. Войдите в систему в качестве администратора центра сертификации. 3. Откройте консоль Certificates (сертификаты) для учетной записи компьютера. Откройте хранилище сертификатов Personal (личные) данного компьютера и проверьте, чтобы в нем был сертификат с именем OCSP Response Signing. 4. Щелкните правой кнопкой мыши этот сертификат и выберите команду Manage Private Keys (управление закрытыми ключами). 5. Перейдите на вкладку Security (безопасность). В диалоговом окне User Group or user name (имя группы пользователей или пользователя) нажмите кнопку Add, введите имя Network Service в список Group or user name (имя группы или пользователя), затем нажмите кнопку OK. 6. Щелкните запись Network Service и в диалогом окне Permissions (разрешения) установите флажок Full Control (полный доступ). 7. Нажмите кнопку ОКдва раза. |
Для создания конфигурации отзыва необходимо выполнить следующие операции:
· определить сертификат центра сертификации, поддерживающего сетевой ответчик;
· определить точку распределения списка отзыва сертификатов CRL для центра сертификации;
· выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва;
· выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком.
Создание конфигурации отзыва
| 1. Откройте оснастку Online Responder (сетевой ответчик). 2. На панели Actions (действия) щелкните Add Revocation Configuration (добавить конфигурацию отзыва), чтобы запустить мастер Add Revocation Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите кнопку Next. 3. На странице Name the Revocation Configuration (имя конфигурации отзыва) введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next. 4. На странице Select CA certificate Location (выбор расположения сертификата центра сертификации) щелкните пункт Select a certificate from an existing enterprise CA (выбрать сертификат из существующего центра сертификации предприятия), затем нажмите кнопку Next. 5. На следующей странице в поле Browse CA certificates published in Active Directory (обзор сертификатов центра сертификации, опубликованных в службе Active Directory) должно появиться имя центра сертификации LH_PKI1. · Если имя есть в списке, щелкните имя центра сертификации, который необходимо связать с созданной конфигурацией отзыва, затем нажмите кнопку Next. · Если имени в списке нет, щелкните Browse for CA Computer (найти компьютер центра сертификации) и введите имя компьютера, который является сервером для центра сертификации LH_PKI1, либо нажмите кнопку Browse (обзор), чтобы найти этот компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next. Примечание Возможна также связь с сертификатом центра сертификации из локального хранилища сертификатов или путем импорта сертификата со съемного носителя в шаге 4. 6. Просмотрите сертификат и скопируйте точку распределения CRL для родительского корневого центра сертификации, RootCA1. Для этого выполните следующие операции: a) откройте оснастку Certificate Services (службы сертификатов). Выберите выданный сертификат; б) дважды щелкните сертификат, затем перейдите на вкладку Details (сведения); в) выполните прокрутку вниз до поля CRL Distribution Points (точки распределения CRL); г) выберите и скопируйте URL-адрес нужной точки распределения CRL; д) нажмите кнопку ОК. 7. На странице Select Signing Certificate (выбор сертификата подписи) примите параметр по умолчанию, Automatically select signing certificate (автоматически выбирать сертификат подписи), затем нажмите кнопку Next. 8. На странице Revocation Provider (поставщик отзыва) выберите пункт Provider (поставщик). 9. На странице Revocation Provider Properties (свойства поставщика отзыва) нажмите кнопку Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK. 10. Нажмите кнопку Finish. 11. С помощью оснастки Online Responder выберите конфигурацию отзыва, затем проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также должны иметь возможность проверить свойства сертификата подписи, чтобы убедиться в правильности настройки сетевого ответчика. |