Лекция: Этап 3. Настройка центра сертификации для выдачи сертификатов подписи отклика протокола OCSP
Настройка центра сертификации для поддержки служб сетевых ответчиков включает настройку шаблонов сертификатов и свойств выдачи для сертификатов подписи отклика протокола OCSP, а также выполнение дополнительных операций с центром сертификации для поддержки сетевого ответчика и выдачи сертификатов.
Примечание
Эти операции, связанные с шаблонами сертификатов и автоматической подачей заявок, могут также использоваться для настройки сертификатов, которые требуется выдать клиентскому компьютеру или пользователям клиентского компьютера.
Настройка шаблонов сертификатов для тестовой среды
| 1. Войдите в систему компьютера LH_PKI1 в качестве администратора центра сертификации. 2. Откройте оснастку Certificate Templates (шаблоны сертификатов). 3. Правой кнопкой мыши щелкните шаблон OCSP Response Signing (подпись отклика протокола OCSP), затем выберите команду Duplicate Template (скопировать шаблон). 4. Введите новое имя для копии шаблона, например OCSP Response Signing_2. 5. Правой кнопкой мыши щелкните шаблон OCSP Response Signing_2, затем выберите команду Properties (свойства). 6. Перейдите на вкладку Security (безопасность). В области Group or user name (имя группы или пользователя) нажмите кнопку Add (добавить), затем введите имя или найдите расположение и выберите компьютер, являющийся сервером для службы сетевого ответчика. 7. Выберите имя компьютера, LH_PKI1, и в диалоговом окне Permissions (разрешения) установите флажки Read (чтение) и Autoenroll (автоматическая заявка). 8. Пока открыта оснастка Certificate Templates, можно выполнить настройку шаблонов сертификатов для пользователей и компьютеров путем замены нужных сертификатов в шаге 3 и повторения шагов с 4 по 7 для настройки разрешений для компьютера LH_CLI1 и тестовых учетных записей пользователей. |
Чтобы настроить центр сертификации для поддержки сетевых ответчиков, необходимо использовать оснастку Certification Authority (центр сертификации) и выполнить две важные операции:
· добавить расположение сетевого ответчика в расширение доступа к информации о центрах сертификации для выпущенных сертификатов;
· включить шаблоны сертификатов, настроенные в предыдущей процедуре для центра сертификации.
Настройка центра сертификации для поддержки службы сетевых ответчиков
| 1. Откройте оснастку Certification Authority (центр сертификации). 2. В дереве консоли выберите имя центра сертификации. 3. В меню Action (действие) выберите пункт Properties. 4. Откройте вкладку Extensions (расширения). В списке Select extension (выбор расширения) выберите пункт Authority Information Access (AIA) (доступ к информации о центре сертификации). 5. Установите флажки Include in the AIA extension of issue certificates (включать в расширение AIA выпущенных сертификатов) и Include in the online certificate status protocol (OCSP) extension (включать в расширение протокола OCSP). 6. Определите расположения, из которых пользователи могут получать данные об отзыве сертификатов; в этой настройке используйте расположение LH_PKI1/ocsp. 7. В дереве консоли оснастки Certification Authority правой кнопкой мыши щелкните запись Certificate Templates (шаблоны сертификатов), затем выберите пункт New Certificate Templates to Issue (новые шаблоны сертификатов для выпуска). 8. В списке Enable Certificate Templates (включить шаблоны сертификатов) выберите шаблон OCSP Response Signing (подпись отклика протокола OCSP) и любые другие шаблоны сертификатов, которые были настроены ранее, затем нажмите кнопку OK. 9. Откройте список Certificate Templates (шаблоны сертификатов) и проверьте, чтобы измененные шаблоны сертификатов были в списке. |